The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
Discover the best professional documents and content resources in AnyFlip Document Base.
Search
Published by valeranidin-2020qw, 2020-05-25 12:44:59

infosecur-2-2020

infosecur-2-2020

№ 2, май 2020 www.itsec.ru

Издание компании

XVI МеждунарОдная выставка

Осень 2020

Спецпроект

удаленный
дОступ

ЕСли бы COVID-19 Кирилл Солодовников
был КомпьютЕрным вируСом
Трансформация бизнеса
типовыЕ ошибКи в условиях кризиса
в рЕализации заКона
о бЕзопаСноСти Кии

КибЕрбЕзопаСноСть объЕКтов
транСпортной инфраСтруКтуры

Ст. 274.1 уК рф:
КратКий обзор
СудЕбной праКтиКи

СпЕцифиКа раССлЕдования
инцидЕнтов при удалЕнном
доСтупЕ

СЕтЕвой фЕйСКонтроль,
или роль NAC в эпоху
ZerOTrusT

оСновныЕ опаСноСти
уСтройСтв в СоСтавЕ
умного дома С точКи зрЕния
потрЕбитЕлЕй

автоматизация пЕнтЕСта:
на шаг впЕрЕди хаКЕра

выбор мЕтриК для измЕрЕния
эффЕКтивноСти sOC

ВСЕГДА НА РАБОЧЕМ СТОЛЕ

ПОДПИСКА 2020

[email protected]
Редакция: (495) 647-04-42 д. 22-82
Подписное УРАЛ-ПРЕСС
агентство: (499) 700-05-07

Реклама

www.itsec.ru

Вместо вступления Амир Хафизов,
выпускающий
Весна принесла нам новую реальность с заметным налетом киберпанка. Дистанционное обучение,
удаленные рабочие совещания, заседания судов, где судья удовлетворяет запрос журналистов на редактор журнала
подключение к видеоконференции и выдает права на создание скриншотов. “Информационная

Пандемия вируса COVID-19 стала главной повесткой как минимум на весь 2020 год. безопасность”

Любопытно, что корона этого вируса, как и у других представителей семейства коронавирусов,
имитирует обычные полезные для клетки молекулы1. Таким образом здоровая клетка надежно сцеп-
ляется с короной, и происходит заражение. К слову, в сфере информационной безопасности этот
механизм прекрасно известен и называется фишингом.

Иммунитет к коронавирусу, как сообщают эксперты2, формируется только у людей, переболевших
в относительно легкой форме. То есть у тех, кто переболел слишком легко или настолько тяжело,
что организм все силы бросил на поддержание жизни, иммунитет не образуется. И тут просматривается
еще одна аналогия с информационной безопасностью: те, кто не заметил кибервторжения и его
последствий, не примут никаких мер для защиты в будущем. С другой стороны, те, кто потерял в про-
цессе эпидемии часть инфраструктуры, скорее всего лишились и значительной части информации
для формирования знаний о защите.

Подробнее об этой аналогии читайте в статье Михаила Кондрашина.

Широкий фронт работ возник у всех нас и в связи с переводом большинства офисных сотрудников
на удаленный режим работы. Данная тема с разных сторон освещается в нескольких разделах
настоящего номера.

А ведь при этом на повестке дня остаются вопросы безопасности критической информационной
инфраструктуры, ФСТЭК выпустила проект новой методики моделирования угроз, отменились все
офлайн-мероприятия и остро встал вопрос офлайнозамещения привычной профессиональной
активности.

И хотя работа многих отраслей в стране, несмотря на поверженных печенегов и половцев, практи-
чески остановилась, в сфере информационной безопасности активность только нарастает, задавая
тренд развития на ближайшие несколько лет.

Здоровья вам и вашим информационным и киберсистемам!

1 https://russian.rt.com/russia/article/730909-vrach-infekcionist-mehanizm-zarazhenie-covid-19
2 https://ria.ru/20200512/1571297791.html

•1

СОДЕРЖАНИЕ стр.

В ФОКУСЕ 4

Михаил Кондрашин стр.
Если бы COVID-19 был компьютерным вирусом . . . . . . . . . . . . . . . .4
Светлана Конявская 23
Самоизоляция сотрудников не защитит
от заражения информационную систему . . . . . . . . . . . . . . . . . . . . . .6 стр.

Новости . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7 36

КИИ стр.
Константин Саматов
Типовые ошибки в реализации закона о безопасности КИИ . . . . .8 42
Алексей Подмарев
Кибербезопасность объектов транспортной инфраструктуры . .12

ПЕрСоНы
Кирилл Солодовников
Трансформация бизнеса в условиях кризиса . . . . . . . . . . . . . . . . .16

ПРАВО И НОРМАТИВЫ

Анастасия Заведенская
обзор законодательства. Март, апрель 2020 . . . . . . . . . . . . . . . . . .18
Алексей Подмарев
Краткий обзор судебной практики по применению
статьи 274.1 Уголовного кодекса рФ . . . . . . . . . . . . . . . . . . . . . . . . .22

УПРАВлЕНИЕ

Алексей Лукацкий
Измерение эффективности SOC. Часть 1 . . . . . . . . . . . . . . . . . . . . .23

2•

СоДерЖание Журнал "Information
Security/Информационная
Технологии
безопасность" № 2, 2020
Ильяс Киреев Издание зарегистрировано
Расследование инцидентов при удаленном доступе . . . . . . . . . . .26
в Минпечати России
Андрей Рыбин Свидетельство о регистрации
Как обеспечить обмен конфиденциальной информацией ПИ № 77-17607 от 9 марта 2004 г.
между организациями для совместной работы
без риска компрометации? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28 Учредитель и издатель
компания "ГРОТЕК"
Валерий Филин, Павел Стеблянко, Виктор Сердюк
Автоматизация пентеста: на шаг впереди хакера . . . . . . . . . . . . . .30 Генеральный директор ООО "Гротек"
Андрей Мирошкин
Александр Дворянский
Повышение осведомленности: we can do it . . . . . . . . . . . . . . . . . . .32 Издатель
Владимир Вараксин
Светлана Коняская
Средства обеспечения контролируемой вычислительной среды Выпускающий редактор
удаленного пользователя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34 Амир Хафизов

Джим Филлипофф Редакторы
Основные опасности устройств в составе умного дома. С чем Светлана Хафизова
сталкиваются потребители? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36 Анастасия Разбойникова

ЗАщитА Сетей Корректор
Галина Воронина
Дмитрий Мороз
Защита удаленных подключений: всерьез и надолго . . . . . . . . . .38 Дизайнер-верстальщик
Ольга Пирадова
Яков Гродзенский
Сетевой фейсконтроль, или Роль NAC в эпоху Zero Trust . . . . . . .40 Группа управления заказами
Колонка редактора . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41 Татьяна Мягкова

РАЗРАбОтКА Юрисконсульт
Кирилл Сухов,
Дарья Орешкина [email protected]
Простой автоматизацией в ит уже не обойтись . . . . . . . . . . . . . . . .42
Департамент продажи рекламы
СерТификация и измерения Зинаида Горелова, Ольга Терехова

Андрей Кондратьев Рекламная служба
О положении дел в метрологии Тел.: +7 (495) 647-0442,
информационной безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45
[email protected]
ноВЫе ПроДУкТЫ и нЬЮСмеЙкерЫ
Отпечатано в типографии
Новые продукты и услуги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47 ИП Морозов, Москва, ул. Зорге, 15
Ньюсмейкеры . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48
Тираж 10 000. Цена свободная

Оформление подписки
Тел.: +7 (495) 647-0442, www.itsec.ru

Департамент по распространению
Тел.: +7 (495) 647-0442,

Для почты 123007, Москва, а/я 82
E-mail [email protected]

Web www.groteck.ru, www.itsec.ru

Перепечатка допускается только по
согласованию с редакцией
и со ссылкой на издание

За достоверность рекламных публикаций
и объявлений редакция ответственности
не несет

Мнения авторов не всегда отражают
точку зрения редакции
© "ГРОТЕК", 2020

•3

В ФОКУСЕ

Если бы COVID-19 был компьютерным вирусом

Михаил Кондрашин, технический директор компании Trend Micro в России и СНГ

В этой статье мы рассмотрим сходства и различия компьютерных
и реальных эпидемий, выясним, какие способы защиты
в информационной безопасности схожи и эффективны
в сравнении со средствами для борьбы с опасной инфекцией.

Коронавирус – это как Пандемия COVID-19 кирует возможность работы мума всех видов пассажирских
будто вредонос-шифроваль- показывает удивитель- и требует выкуп. Коронавирус перевозок, ограничение въез-
щик, который эксплуатирует ное сходство с примера- же не требует ничего. Однако да-выезда в населенных пунк-
уязвимость нулевого дня ми массовых эпидемий его жертвы также утрачивают тах – чем не закрытие портов?
в человеческом организме. компьютерных вирусов. возможность нормально функ- Контроль температуры тела
И патча – вакцины от этой Налицо близкие по смыс- ционировать. Проникая в клетки и экспресс-тесты на коронави-
уязвимости – пока нет. лу способы распростра- организма, вирус перепрограм- рус, которые планируют делать
нения и заражения, а мирует их, заставляя воспроиз- в аэропортах, можно рассмат-
Контроль температуры также печальные резуль- водить себя. ривать как систему глубокого
тела и экспресс-тесты на таты. И хотя сравнивать анализа трафика (Deep Packet
коронавирус, которые пла- человеческие жизни и работо- Таким образом, коронавирус – Inspection, DPI).
нируют делать в аэропортах, способность компьютерных это как будто вредонос-шиф-
можно рассматривать как систем напрямую – не совсем ровальщик, который эксплуа- Процесс установки межсете-
систему глубокого анализа корректно, есть вероятность тирует уязвимость нулевого дня вых экранов для защиты от
трафика (Deep Packet получения хорошего опыта в человеческом организме. пандемии сейчас происходит по
Inspection, DPI). в борьбе с цифровой заразой. И патча – вакцины от этой всему миру. Страны закрывают
уязвимости – пока нет. Равно границы, чтобы свести к мини-
4• Распространение как и не написан расшифров- муму проникновение инфекции,
щик для заблокированных виру- оставляя тонкий, полностью
Если сравнивать с компью- сом данных: эффективного контролируемый коридор для
терными вредоносами, то пан- лекарства, гарантирующего граждан, которые не успели
демия коронавируса больше выздоровление заболевших, вернуться до установки новых
всего напоминает эпидемии пока не создали. правил. А чтобы в страну не
WannaCry и NotPetya: проник коронавирус, их отправ-
l распространяется случайным А теперь давайте посмотрим ляют на карантин.
образом, "перепрыгивая" на на инструменты, которые поз-
ближайший доступный объект; воляют остановить распростра- Карантин
l наиболее уязвимым оказы- нение компьютерных вредоно-
вается старшее поколение сов, эксплуатирующих пробле- Если компьютерный вирус
систем. Для WannaCry это Win- мы, и для которых нет патчей. каким-то образом проникает
dows XP и Windows Server 2000, Сравним их с мерами, которые внутрь сети, все попавшие под
а для COVID-19 – люди старше принимаются в реальной жизни. удар или подозрение системы
65 лет; По ИБ-опыту, наиболее эффек- отключают, чтобы вредонос не
l для проникновения WannaCry тивными в борьбе с массовыми распространялся. Это позволяет
эксплуатирует уязвимости в инфекциями оказываются: спокойно разобраться с ситуа-
протоколе SMB, а коронавирус l межсетевые экраны; цией, выяснить подробности
пользуется тем, что организм l карантин; инцидента и принять меры,
большинства людей не умеет l антивирус; чтобы защитить остальные ком-
сопротивляться ему, поскольку l навыки безопасного поведе- пьютеры и серверы.
иммунитет незнаком с новой ния.
инфекцией. Карантин в реальном мире
Разберем каждый из позволяет остановить распро-
Вредоносное воздействие инструментов подробнее странение инфекции путем изо-
ляции больных и тех, кто нахо-
Зашифровав файлы на пора- Межсетевые экраны дился с ними в контакте. Учи-
женной системе, WannaCry бло- тывая длительный инкубацион-
Чтобы защитить сеть пред- ный период COVID-19, несколь-
приятия от проникновения вре- ко недель – не самая большая
доносов, на границах с внешним плата за безопасность обще-
миром устанавливают межсе- ства.
тевые экраны, которые контро-
лируют трафик и пропускают Антивирус
лишь те пакеты, которые раз-
решено. Во время эпидемии От заражения известными
WannaCry компании, сети кото- вирусами спасает установлен-
рых были защищены межсете- ный на устройство антивирус.
выми экранами, избежали зара- Выявить и заблокировать
жения. неизвестные инфекции в неко-
торых случаях помогает эври-
Самая близкая аналогия стический анализатор. Однако
с межсетевыми экранами 100% гарантии от заражения
в реальном мире – это закрытие ни один разработчик антивиру-
границ. Сокращение до мини- сов, конечно, не даст.

В ФОКУСЕ www.itsec.ru

В каком-то смысле антивирус Как остановить
можно рассматривать как ана- пандемию?
лог средств индивидуальной
защиты. Маска, перчатки, анти- Пока патч для уязвимости
септик и мытье рук тоже сни- недоступен, а работы над рас-
жают вероятность заразиться шифровщиком всё еще ведутся,
коронавирусом, но абсолютной то вариантов для противостоя-
гарантии не дают. ния инфекции не так много.
Отказаться от использования
Человеческий фактор уязвимых систем в случае
реальной эпидемии невозмож-
Сходство компьютерной но, поскольку в роли систем
выступают сами люди. Если
и обычной эпидемии еще более "отключить всех от сети",
устроив тотальный карантин, –
очевидно, если изучить влияние остановится не только работа,
но и сама жизнь.
человеческого фактора на рас-
Обеспечить приемлемый уро-
пространение инфекции. вень безопасности и сохранить
работоспособность помогают
Сравните: более жесткие правила: белые
списки, ограничения количества
l беспечный сотрудник откры- запущенных программ и разре- успешных атак. Очевидно, что
шение на установку только тех в новых условиях жителям всех
вает вредоносное вложение приложений, которые имеют стран придется менять свои
цифровую подпись. В переносе привычки и вырабатывать навы-
в фишинговом письме, и ком- на реальную жизнь эти правила ки безопасного поведения
превращаются в пропуска для в соответствии с рекоменда-
пания Norsk Hydro лишается работающих, QR-коды, конт- циями Всемирной организации
роль с помощью системы рас- здравоохранения.
доступа к своим файлам, кото- познавания лиц и штрафы для
нарушителей режима. Подведем итоги
рые зашифровал вредонос
Такие непопулярные меры Если бы COVID-19 был ком-
LockerGoga. Убытки от атаки затрудняют привычную жизнь, пьютерным вирусом, остановить Легкомыслие и невнима-
но ограничивают скорость рас- его распространение помог бы тельность во время массо-
оцениваются в $41 млн; пространения инфекции, дают следующий комплекс мер: вых эпидемий, будь то ком-
дополнительное время, чтобы пьютерная угроза или
l 68-летний москвич c диагно- вылечить заболевших и умень- 1. Межсетевые экраны с набо- настоящая инфекция, –
шить количество новых зара- ром строгих правил. преступная небрежность,
стированным коронавирусом жений. Ведь в отличие от ком- потому что слишком дорого
пьютеров людям недоступна 2. Карантин для зараженных обходятся.
приходит в Лобненскую цент- такая замечательная функция, и потенциально зараженных
как восстановление из резерв- устройств. Во время компьютерных
ральную больницу, проходит по ной копии. Поэтому, пока не эпидемий фактором, обес-
будет разработано лекарство, 3. Установка антивируса на печивающим быструю
зданию, сидит в общей очереди нужно сдерживать рост числа все устройства. победу над вирусом, обычно
заболевших. становится объединение
на рентген. Вся больница 4. Локальные ограничения на усилий вендора уязвимой
Во время компьютерных эпи- запуск неизвестных программ, системы, ведущих ИБ-
и поликлиника, через которую демий фактором, обеспечиваю- разрешение установки только компаний и экспертов.
щим быструю победу над виру- подписанных приложений, К сожалению, с пандемией
он прошел, закрывается на сом, обычно становится объ- ограничение количества одно- коронавируса каждая стра-
единение усилий вендора уязви- временно работающих про- на борется в одиночку.
карантин, а все, кто там нахо- мой системы, ведущих ИБ-ком- грамм.
паний и экспертов. К сожале- Серьезная проблема как
дился вместе с больным, уходят нию, с пандемией коронавируса 5. Тренировка людей по навы- для компьютерных, так
каждая страна борется в оди- кам безопасного поведения. и для реальных эпидемий –
на двухнедельную изоляцию. ночку. Это увеличивает сроки это человеческий фактор.
разработки вакцин и лекарств 6. Объединение усилий вен- По статистике, компании,
Легкомыслие и невниматель- и приводит к тому, что итоговое дора и ИБ-компаний в разра- которые систематически
количество пострадавших от ботке патчей и расшифровщика обучают сотрудников навы-
ность во время массовых эпи- болезни окажется значительно для заблокированных файлов. кам безопасного поведения
выше. и проводят тренировки по
демий, будь то компьютерная И если первые пять пунктов в этим навыкам, значительно
Серьезная проблема как для борьбе с коронавирусом вполне реже становятся жертвами
угроза или настоящая инфек- компьютерных, так и для реаль- соответствуют лучшим ИБ-прак- успешных атак.
ных эпидемий – это человече- тикам, то в части координации
ция, – преступная небрежность, ский фактор. По статистике, усилий всех стран по разработ- •5
компании, которые системати- ке вакцин и поиску лекарств
потому что слишком дорого чески обучают сотрудников дела обстоят не лучшим обра-
навыкам безопасного поведе- зом. Возможно, объединение
обходятся. Необдуманный клик ния и проводят тренировки по исследовательских лаборато-
этим навыкам, значительно рий ведущих мировых держав
по фишинговому документу соз- реже становятся жертвами под эгидой ВОЗ и обмен нара-
ботками позволят победить
дает многомиллионные убытки общую угрозу значительно
быстрее и эффективнее. Одна-
для компании. Необдуманный ко данная инициатива уже не
относится к сфере информа-
визит больного в медицинское ционной безопасности. l

учреждение останавливает его Ваше мнение и вопросы
присылайте по адресу
работу, а десятки людей под-
[email protected]
вергаются риску заражения.

Когда люди верят во что-то,

они следуют за этой идеей.

Поэтому, если социальный

инжиниринг сработал, жертва

послушно выполняет указания

мошенника – устанавливает

"обновление", открывает "важ-

ный документ" или вводит

пароль на фишинговом сайте.

Точно так же, поверив так назы-

ваемым ковид-диссидентам или

сторонникам теории заговора,

люди игнорируют предупреж-

дения вирусологов о методах

предосторожности. Люди счи-

тают, что их иммунитет доста-

точно силен, чтобы противосто-

ять любой заразе. А иногда

и вовсе уверены, что никакой

инфекции нет и вся пандемия –

это заговор каких-то мировых

сил.

В ФОКУСЕ

САМОИЗОЛЯЦИЯ НЕ ЗАЩИТИТ ОТ ЗАРАЖЕНИЯ
информационную систему

Светлана Конявская, заместитель генерального директора ЗАО “ОКБ САПР", к.ф.н.

Ж изнь давно научила нас гибко реагировать на изменения ситуации. Поэтому, как
только возникла необходимость удаленной работы в системах, в которых это было
до сих пор не предусмотрено, в специализированных журналах и сетевых СМИ
сразу появилась масса предложений по организации удаленной работы, в том числе
защищенной. Это целый новый рынок, и, хотя все надеются, что просуществует он
недолго, было бы нерационально не обратить на него внимание.

К счастью, почти все понимают, что мобильными рабочими местами. Но оно щенном надежно), загрузка среды для
удаленная работа сотрудников с ресур- не может считаться приемлемым для всех доступа к защищенной ИС должна про-
сами системы, если она производится с без исключения организаций, вынужден- изводиться из физически изолированной
использованием их домашних компью- ных сейчас перейти на удаленную работу: от основного компьютера памяти, недо-
теров, ноутбуков, личных планшетов и приобрести защищенные планшеты для ступной для изменения.
смартфонов, несет в себе угрозы без- сотрудников могут далеко не все.
опасности системы. Но в качестве реше- Если в составе загружаемой среды
ния этой проблемы предлагаются прак- Домашние компьютеры есть преднастроенные средства защиты
тически исключительно средства защиты (МЭ, VPN, средство разграничения досту-
канала и средства идентификации и В то же время ограничиться установ- па), загрузка производится из защищен-
аутентификации пользователей (в форм- кой VPN-клиента на домашние компью- ной от записи памяти, жесткий диск
факторах, позволяющих использовать теры сотрудников – значит создать защи- компьютера не используется, конфигу-
их, например, на iPad). щенный канал доставки в ИС организа- рация загруженной ОС максимально
ции как минимум вирусов. А ведь неза- ограничивает свободу пользователя (ему
Применение этих средств при органи- щищенный компьютер на входе в систе- недоступны органы управления ОС, рабо-
зации доступа к ресурсам информа- му – это еще и гостеприимно раскрытая чая среда полностью изолирована от
ционной системы (ИС) с неконтролируе- дверь для хакера: он тоже сможет войти посторонних сетевых соединений, откры-
мых устройств сотрудника дает только в вашу систему по защищенному каналу, тый трафик отсутствует, а после завер-
один эффект – безосновательной само- ведь взять под контроль домашний ком- шения работы в браузере сеанс связи
успокоенности. Защитного эффекта они пьютер абсолютного большинства поль- завершается, не давая пользователю
не дают, если не защищено СВТ, с кото- зователей совсем несложно. делать ничего лишнего), то создаются
рого осуществляется доступ. все предпосылки для безопасной для
Умалчивать об этом неприемлемо, ИС удаленной работы с ее ресурсами.
Мобильные рабочие места однако это происходит. Причина не толь- По завершении работы в ИС организации
ко в недобросовестности, но еще и в пользователь отключает средство обес-
Наиболее остро вопрос необходимости том, что защиту личных устройств при- печения доверенного сеанса связи, пере-
защиты клиентского СВТ стоит для орга- нято считать нерешаемой проблемой. загружает компьютер и без ограничений
нов государственной власти и местного Оснастить домашние компьютеры ком- пользуется всеми небезопасными ресур-
самоуправления, которым необходимо плектом всех необходимых средств сами, которыми хочет и привык.
обеспечить защищенный удаленный защиты, с одной стороны, непомерно
доступ сотрудников к ресурсам государст- дорого, а с другой – это наложит на Когда плюсы перевешивают
венных и ведомственных ИС, в том числе пользователя огромное количество минусы
для выполнения операций, связанных с ограничений, с которыми на своем собст-
применением криптографических средств. венном личном устройстве никто, как Технология ДСС создает пользовате-
Планшеты, на которых не установлено правило, не намерен мириться. Более лю некоторое неудобство: нужно пере-
средство доверенной загрузки, сертифи- того, совершенно невозможно ожидать, загружаться для смены сеанса. Однако
цированное ФСБ России как АПМДЗ, что средства защиты информации на это несравнимо с неудобствами, накла-
нельзя использовать для этих операций – домашних компьютерах, даже если они дываемыми полным комплектом защи-
это прямо противоречит требованиям там окажутся, будут как следует настрое- ты, создающим такой же уровень защи-
регулятора. Но в стандартные планшеты ны, да еще и постоянно. щенности для ПК. И столь же суще-
зарубежного производства невозможно ственно различие их стоимости: средство
установить АПМДЗ, это объективное Доверенный сеанс связи обеспечения ДСС стоит ориентировочно
ограничение их конструкции. Эффектив- в два раза меньше, чем комплект ста-
ность работы сотрудников среднего и Уже много лет существует технология, ционарной защиты, и в пять раз меньше,
высшего звена при использовании таких позволяющая использовать недоверен- чем защищенный планшет. Цены,
планшетов существенно снижается. ный компьютер для удаленного доступа конечно, нужно уточнять у поставщика,
к защищенной ИС. и зависят они от конкретной ОС, СКЗИ
Однако существует отечественный и многого другого, но это уже не предмет
планшет с хорошими характеристиками и Технология называется "доверенный данной статьи. l
встроенным АПМДЗ класса 1Б1. Для орга- сеанс связи"2 (ДСС) и базируется на
нов государственной власти и местного том, что для случаев, когда компьютер Ваше мнение и вопросы
самоуправления нормальным решением постоянно работает в незащищенном присылайте по адресу
является оснащение сотрудников такими режиме и только периодически должен
использоваться в защищенном (но защи- [email protected]

1 Конявская С.В. “Очевидное-невероятное” версии 2020 года: планшет “СКЗИ ready”// Information Security (Информационная
безопасность). 2020. № 1. С. 33.

2 Конявский В.А. Серебряная пуля для хакера // Защита информации. INSIDE. 2013. № 4. С. 54–56.
Конявский В.А. Серебряная пуля для хакера (Окончание) // Защита информации. INSIDE. 2013. № 5. С. 69–73.

6•

НОВОСТИ www.itsec.ru

"ДиалогНаука" завершила для ГУП "Москоллектор" серию
проектов в области информационной безопасности

ГУП "Москоллектор" – специализированное предприятие рядительных документов предприятия, регламентирующих
топливно-энергетического хозяйства города Москвы по экс- порядок обработки и защиты ПДн, определен перечень ПДн
плуатации коммуникационных коллекторов. С марта 2017 г. и подсистем ИСПДн, подлежащих защите, определены исполь-
ГУП "Москоллектор" подчиняется Департаменту жилищно-ком- зуемые средства защиты информации (СЗИ) и степени участия
мунального хозяйства города Москвы. Соответствие всем требо- персонала в обработке ПДн, а также характер взаимодействия
ваниям законодательства РФ для компании такого уровня, как с персоналом, ответственным за обеспечение безопасности
ГУП "Москоллектор", является одной из первостепенных задач. ПДн. По итогам проекта был составлен подробный отчет
о результатах обследования.
"ДиалогНаука" реализовала целый комплекс проектов,
направленных на повышение уровня информационной без- Для оценки текущего состояния системы обеспечения инфор-
опасности ГУП "Москоллектор". Для получения независимой и мационной безопасности (СОИБ) предприятия и формирования
объективной оценки текущего состояния защиты предприятия рекомендаций по дальнейшему развитию СОИБ специалисты
от угроз со стороны потенциальных злоумышленников было "ДиалогНауки" проанализировали процессы управления и обес-
проведено тестирование на проникновение по моделям внеш- печения информационной безопасности. В рамках этого
него и внутреннего нарушителя. Были смоделированы атаки, проекта они провели независимую объективную оценку теку-
направленные на выявление организационных, эксплуата- щего уровня СОИБ, анализ существующих процессов обес-
ционных и технологических уязвимостей в инфраструктуре печения ИБ и оценку текущего уровня зрелости СОИБ. В завер-
ГУП "Москоллектор". шение консультанты разработали рекомендации по повышению
уровня ИБ предприятия и достижению целевого уровня ИБ.
По результатам тестов на проникновение консультанты
"ДиалогНауки" подготовили отчеты, включающие в себя опи- В рамках работ по предварительному категорированию
сание границ аудита, использованных методов и средств, объектов критической информационной инфраструктуры
перечень выявленных уязвимостей и недостатков, ранжиро- ГУП "Москоллектор" в соответствии с требованиями 187-ФЗ
ванных по уровню риска их использования потенциальными "О безопасности критической информационной инфраструктуры
злоумышленниками. Были описаны предпринятые сценарии Российской Федерации" было проведено установление при-
проникновения и достигнутые результаты, проведена оценка надлежности предприятия к субъектам критической информа-
рисков ИБ и процессов обеспечения ИБ предприятия. Специа- ционной инфраструктуры, а также уточнение перечня объектов
листы "ДиалогНауки" дали рекомендации по устранению КИИ, подлежащих категорированию. После обоснования
выявленных уязвимостей и совершенствованию процессов необходимости присвоения объектам КИИ одной из категорий
обеспечения ИБ. значимости (или подтверждения отсутствия необходимости
присвоения им одной из таких категорий) было проведено
Был выполнен анализ в соответствии с требованиями ФЗ предварительное категорирование объектов КИИ. l
"О персональных данных" внутренних организационно-распо-

Skolkovo Cybersecurity Challenge

S kolkovo Cybersecurity Challenge – это международный конкурс
инновационных проектов, направленных на защиту мира от
киберугроз.
Участие в конкурсе позволяет стартапам и коллективам
разработчиков получить финансирование для реализации
технологии, воспользоваться рекомендациями ведущих
экспертов отрасли, найти партнеров, клиентов, создать
компанию, которая может стать будущим лидером отрасли.
На вопросы нашего журнала ответил Михаил Стюгин,
руководитель направления Информационная безопасность
кластера информационных технологий Фонда "Сколково".

– Михаил, стартапов по тематике ИБ в России ста- вышедшие на рынок) – уже не соответствуют. Среди новых,
новится больше? еще не представленных на рынке решений мы видим больше
соответствия мировым трендам: поведенческая аналитика,
– ИБ-стартапов, как и в целом ИТ-стартапов, становится искусственные иммунные системы, защита блокчейн-решений
больше. За три года проведения конкурса количество заявок (или на основе блокчейн-решений), различные решения сег-
росло в прогрессии 60–80–120. Сложно прогнозировать коли- ментации и разделения ресурсов, процессов, потоков и пр.
чество участников в этом году, так как пандемия отчасти
повлияла и на сам конкурс, и на приоритеты в деятельности – Рискованно ли заказчикам строить долгосрочные
компаний. отношения со стартапами? Как это зависит от
этапа их развития?
– Как увязывается тематика стартапов с глобаль-
ными трендами: есть соответствие или расхожде- – Смотря для кого и в каких решениях. К примеру, банк из
ние, опережение или отставание? топ-10, конечно, не будет покупать решение без большого
количества референсов – для него это риски. Но если решение
– В целом есть соответствие. Я бы даже сказал, что представляет собой дополнительный сервис для снижения
тематика именно тех стартапов, которые находятся в стадии рисков и издержек или позиционируется как новая бизнес-
до MVP (минимально жизнеспособный продукт), соответствует модель, то сотрудничество возможно. l
глобальным трендам, а проекты в стадии MVP+ (продукты,
•7

В ФОКУСЕ

Практические рекомендации
для реализации требований 187-ФЗ

Константин Саматов, эксперт по кибербезопасности Уральского центра систем безопасности, член
правления Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин

информационной безопасности в УрГЭУ и УРТК им. А.С. Попова

П рошло более двух лет с момента вступления в силу Федераль-
ного закона от 26.07.2017 № 187-ФЗ “О безопасности крити-
ческой информационной инфраструктуры Российской Федера-
ции"1 (01.01.2018), но до сих пор далеко не все организации
могут похвастаться успешным исполнением его требований.
Почему так происходит, что нужно делать и какие возникают
ошибки, – об этом пойдет речь в данной статье.

Приступать к реализации На практике специа- нирует ли организация (госу- выполнить анализ угроз без-
187-ФЗ необходимо с ана- листы, занимающиеся дарственный орган, учрежде- опасности и возможных дей-
лиза учредительных доку- обеспечением безопас- ние) в одной из перечислен- ствий нарушителей (см. пп. "г",
ментов и определения, ности объектов крити- ных в законе сферах. Иными "д" п. 14 Правил категорирова-
функционирует ли организа- ческой информацион- словами, первым этапом ния объектов критической
ция в одной из перечислен- ной инфраструктуры, является не категорирование, информационной инфраструк-
ных в законе сферах. рисуют приблизительно а "самоидентификация" в каче- туры Российской Федерации
следующую картину (дорож- стве субъекта КИИ, после кото- (утв. постановлением Прави-
Следует отметить, что ную карту) по выполнению рой далее будет логичным тельства Российской Федерации
дорожная карта не является требований действующего шагом создание комиссии от 8 февраля 2018 г. № 127),
планом проекта, а представ- законодательства в указанной и проведение процедуры кате- результаты которого отражают-
ляет собой некий прогноз сфере (см. рис. 1). горирования. ся в разд. 6 Сведений о резуль-
действий, которые могут Пример взят из практической татах присвоения объекту кри-
привести к достижению деятельности автора, в связи с Если в ходе "самоиденти- тической информационной
цели, следовательно разра- чем и предлагается рассмотреть фикации" установлено, что инфраструктуры одной из кате-
батывается именно в начале ошибки в реализации требова- организация функционирует горий значимости, либо об
пути. ний 187-ФЗ, взяв за основу в одной из 122 сфер, целесооб- отсутствии необходимости при-
данный кейс. разно разработать дорожную своения ему одной из таких
карту по реализации в органи- категорий.
Типовые ошибки зации требований 187-ФЗ3.
и основные этапы Следует отметить, что дорож- Разработка моделей угроз
в реализации ная карта не является планом осуществляется на этапе соз-
дорожной карты проекта, а представляет собой дания СОИБ объектов (значи-
некий прогноз действий, кото- мых объектов) КИИ (см. п. 11
Первое, что сразу бросает- рые могут привести к достиже- Требований по обеспечению
ся в глаза при анализе нию цели, следовательно раз- безопасности значимых объ-
дорожной карты, – это раз- рабатывается именно в начале ектов критической информа-
деление категорирования пути, а не в середине, как ука- ционной инфраструктуры Рос-
объектов КИИ на два само- зано на рис. 1. После проведе- сийской Федерации (утв. при-
стоятельных этапа. На самом ния процедуры категорирова- казом ФСТЭК России от
деле большинство субъектов ния нужно разработать план 25 декабря 2017 г. № 239),
КИИ действительно так проекта создания системы который начинается с установ-
и делают: создают комиссию, обеспечения информационной ления требований к обеспече-
начинают процедуру катего- безопасности (СОИБ) объектов нию безопасности объекта
рирования, а затем выясняют, (значимых объектов) КИИ с (значимого объекта) КИИ
что к субъектам КИИ они не указанием результата, сроков (см. п. 10 Требований по обес-
относятся. и ресурсов. печению безопасности значи-
мых объектов критической
Не забывайте про Не торопитесь с разработкой информационной инфраструк-
туры Российской Федерации)
самоидентификацию моделей угроз и формирования технического
задания. На основе техниче-
Приступать к реализации Еще одной характерной ошиб- ского задания, с учетом моде-
187-ФЗ необходимо с анали- кой является разработка моде- лей угроз и нарушителей, про-
за учредительных докумен- лей угроз на этапе категориро-
тов и определения, функцио- вания. На этом этапе нужно

1 Далее по тексту вместо полного названия – Федеральный закон от 26.07.2017 № 187-ФЗ “О безопасности критической
информационной инфраструктуры Российской Федерации" – используется сокращение “187-ФЗ", вместо “критическая
информационная инфраструктура" используется сокращение “КИИ".

2 Порядок ведения реестра значимых объектов КИИ (утв. приказом ФСТЭК России от 6 декабря 2017 г. № 227) выделяет 12 сфер.
3 С учетом принятых во исполнение данного федерального закона подзаконных нормативно-правовых актов.

8•

КИИ www.itsec.ru

Таблица 1. Процессы обеспечения функционирования СОИБ

изводится проектирование Наименование процесса Описание основных действий
СОИБ (технический проект), а Планирование Ежегодное планирование мероприятий по обеспечению
также разработка рабочей (экс- информационной безопасности. Отдельное планирование
плуатационной) документации. Осуществление мероприятий по повышению осведомленности персонала
Проверка (рекомендация автора)
На этом заканчивается тех- (мониторинг и контроль) Реализация мероприятий в соответствии с планом
ническое проектирование и Действие Мониторинг состояния информационной безопасности (постоянный)
начинается внедрение органи- (совершенствование) Периодические аудиты (не реже чем раз в три года, лучше раз в год)
зационных и технических мер Совершенствование процессов обеспечения информационной
СОИБ: установка и настройка безопасности, повышение их зрелости
средств защиты информации;
разработка организационно- ционные ресурсы Российской может принять решение о соз-
распорядительных документов; Федерации (ГосСОПКА), так дании СОИБ в том числе и для
предварительные, опытные и как: объектов КИИ, не имеющих
приемочные испытания; ввод в l его обязаны осуществлять в категории значимости);
эксплуатацию. том числе и те субъекты, у кото- l оно может осуществляться и
рых нет значимых объектов КИИ без интеграции с технической
Взаимодействие с ГосСОПКА и которые приняли решение не инфраструктурой Национально-
создавать СОИБ (субъект КИИ го координационного центра по
Отдельным этапом следует
выделить взаимодействие с
Государственной системой
обнаружения, предупреждения
и ликвидации последствий ком-
пьютерных атак на информа-

Рис. 1. Дорожная карта глазами субъекта КИИ

•9

В ФОКУСЕ

Таблица 2. Этапы реализации требований 187-ФЗ компьютерным инцидентам (на
сегодняшний день);
№ Название Разрабатываемые документы l набор мероприятий может
быть различным: от простого
п/п этапа внесения изменений в регла-
мент по реагированию на инци-
1 Идентификация Дорожная карта реализации требований 187-ФЗ денты информационной без-
опасности до создания целой
в качестве структуры – корпоративного
(ведомственного) центра Гос-
субъекта КИИ СОПКА.

2 Категорирование Приказ о создании постоянно действующей комиссии по категорированию Поэтому взаимодействие с
ГосСОПКА необходимо рас-
Перечень объектов КИИ, подлежащих категорированию сматривать как отдельный этап,
идущий параллельно созданию
Акты по результатам категорирования СОИБ4.

Сведения о результатах присвоения объекту КИИ одной из категорий Планирование (Plan) –

значимости либо об отсутствии необходимости присвоения ему одной Осуществление (Do) –

из таких категорий Проверка (Check) –

3 Создание СОИБ План проекта создания СОИБ (рекомендация автора) Действие (Act)

объектов Техническое задание на создание СОИБ Следующим этапом в реали-
зации требований 187-ФЗ
(значимых Модели угроз и нарушителей является обеспечение безопас-
ности объекта (значимого объ-
объектов) КИИ Технический проект СОИБ екта) КИИ в ходе его эксплуа-
тации. На данном этапе закан-
Рабочая (эксплуатационная) документация чивается проект создания
СОИБ и начинаются процессы
Организационно-распорядительные документы (так называемые обеспечения ее функциониро-
вания, а соответственно
нулевые меры) Состава мер по обеспечению безопасности меняются и подходы. Так, Тре-
бования по обеспечению без-
для значимого объекта соответствующей категории значимости) опасности значимых объектов
критической информационной
Акты установки и настройки средств защиты информации инфраструктуры Российской
Федерации обязуют субъекта
Акты о приемке в опытную эксплуатацию, о завершении опытной КИИ применять модель "Плани-
рование (Plan) – Осуществление
эксплуатации, о приемке в постоянную эксплуатацию (Do) – Проверка (Check) –
Действие (Act)" (PDCA) для
Взаимодействие Регламент правил и процедур реагирования на компьютерные инциденты обеспечения безопасности
в ходе эксплуатации. Иными
с ГосСОПКА Положение о корпоративном ведомственном центре ГосСОПКА словами, субъект КИИ должен
внедрить (интегрировать в биз-
Соглашение о взаимодействии с ФСБ России (ФинЦЕРТ) нес-процессы организации) дан-
ные процессы в соответствии
Иные организационно-распорядительные документы, регламентирующие с требованиями, утвержденны-
ми приказами ФСТЭК России
деятельность ведомственного (корпоративного) центра ГосСОПКА от 21 декабря 2017 г. № 235
и от 25 декабря 2017 г. № 239.
4 Обеспечение План мероприятий (годовой) по обеспечению информационной безопасности
Ну и нельзя не отметить, что
безопасности Планы мероприятий по повышению осведомленности персонала на рис. 1 полностью отсутствует
этап вывода объекта КИИ из
объекта (рекомендация автора) эксплуатации. На первый
взгляд, это очевидно: стоит
(значимого Отчеты об аудитах и проделанных работах (включая рекомендации) задача что-то создать
(построить), а не ликвидиро-
объекта) КИИ вать. Но для целостного виде-
ния картины учесть данный этап
в ходе его все же необходимо.

эксплуатации Выводы

5 Обеспечение Акты передачи носителей информации на архивное хранение Подводя итоги, можно выде-
лить следующие этапы в реа-
безопасности Акты уничтожения информации и носителей информации лизации требований 187-ФЗ
(см. табл. 2). l
объекта
Ваше мнение и вопросы
(значимого присылайте по адресу

объекта) КИИ [email protected]

при выводе

его из

эксплуатации

4 Подробнее об организации взаимодействия с ГосСОПКА можно прочитать в статье
автора: “Проблемные вопросы взаимодействия с ГосСОПКА" // Information
Security/Информационная безопасность.2019. №4.

10 •

Реклама

В ФОКУСЕ

Почему субъекты транспортной
инфраструктуры задерживают
исполнение закона о КИИ

Алексей Подмарев, CISO Сирена-Трэвел

А ктуальность и своевременность вопросов защиты
информационной инфраструктуры в сфере транспорта
ускорили процесс принятия закона о безопасности критической
информационной инфраструктуры. Сбой в работе или выход
из-под контроля ПО, управляющего, например, работой
железной дороги или авиалиний, может привести
к трагическим последствиям. Руководитель организации
в случае серьезного инцидента, который повлек за собой
причинение вреда здоровью людей, может быть привлечен не
только к административной, но и к уголовной ответственности.

Система может быть Все участники транс- ждении показателей критериев Если организация явно отно-
классической ИС и не портной инфраструкту- значимости объектов КИИ РФ сится к сфере деятельности из
выполнять специализиро- ры потенциально и их значений, а также порядка перечня, который приведен
ванных функций, явно отно- являются субъектами и сроков осуществления их в 187-ФЗ, она считается субъ-
сящихся к данной сфере, но критической информационной категорирования" (127-ПП). ектом КИИ и составляет пере-
при этом обеспечивать реа- инфраструктуры, поскольку Согласно базовым документам, чень своих объектов КИИ.
лизацию критических для подпадают под действие в отношении принадлежащих Далее, уже в процессе катего-
рассматриваемой сферы Федерального закона "О без- субъектам КИИ на праве собст- рирования, каждый объект (ИС,
процессов. Примерами опасности критической инфор- венности, аренды или ином ИТКС или АСУ), если он явно
могут служить системы мационной инфраструктуры законном основании объектов или косвенно обеспечивает реа-
контроля и управления Российской Федерации" от КИИ должны проводиться сле- лизацию функций, относящихся
доступом (СКУД) или видео- 26.07.2017 г. № 187-ФЗ (далее – дующие работы: к деятельности организации
наблюдения в аэропорту. 187-ФЗ) на основании принад- в рамках рассматриваемой
лежности к сфере деятельно- 1. Создание комиссии по сферы, должен быть отнесен
12 • сти. Закон определил понятие категорированию, составление к той или иной категории значи-
термина – критическая инфор- перечня объектов КИИ и его мости. В этом случае система
мационная инфраструктура согласование, категорирование может быть классической ИС
(КИИ), выделил ее субъекты, объектов КИИ и информирова- и не выполнять специализиро-
значимые объекты и способы ние ФСТЭК1. ванных функций, явно относя-
их защиты. щихся к данной сфере, но при
Объекты КИИ – это инфор- 2. Разработка мероприятий этом обеспечивать реализацию
мационные системы (ИС), по взаимодействию с ФСБ Рос- критических для рассматривае-
информационно-телекоммуни- сии. Организация взаимодей- мой сферы процессов. Приме-
кационные сети (ИТКС) и авто- ствия с ФСБ России (НКЦКИ). рами могут служить системы
матизированные системы Разработка плана реагирования контроля и управления досту-
управления (АСУ) субъектов на компьютерные инциденты и пом (СКУД) или видеонаблю-
КИИ. Требования к проведению принятия мер по ликвидации дения в аэропорту. Так или
инвентаризации и категориро- последствий компьютерных иначе, но всем предприятиям,
вание систем в соответствии с атак2. функционирующим в сфере
187-ФЗ содержатся в постанов- транспорта, нужно создавать
лении Правительства РФ от 3. Создание системы безопас- и поддерживать эффективные
08.02.2018 г. № 127 "Об утвер- ности значимых объектов КИИ3. системы безопасности, а также

4. Обеспечение безопасности
значимого объекта КИИ в ходе
его эксплуатации4.

1 127-ПП, п. 11.
2 187-ФЗ (ст. 9, ч. 2, п. 1),
Приказ ФСБ России № 367,
Приказ ФСБ России №282, п. 6, 7, 8, 9,
Приказ ФСБ России № 367,
Приказ ФСБ России № 368.
3 187-ФЗ (ст. 10, ч. 1),
Приказ ФСТЭК России № 235 (раздел II, п. 8, 9, 10),
Приказ ФСТЭК России № 239, раздел II, п. 10 и 11.1,
Приказ ФСТЭК России № 235, п. 25.
4 Приказ ФСТЭК России № 239, раздел II, п. 13.

КИИ www.itsec.ru

провести некоторое количество ренная пп. "е" п. 14 Правил живать исполнение закона о Помимо основных регу-
дорогостоящих и продолжитель- категорирования (127-ПП), кото- безопасности критической ляторов, указанных в феде-
ных по времени мероприятий. рая проводится исходя из пред- информационной инфраструк- ральном законе, есть еще
положения о прекращении или туры. отраслевой регулятор –
Помимо основных регулято- нарушении функционирования Минтранс России. Поэтому
ров, указанных в федеральном вследствие компьютерной атаки Избыточность и сложность процесс согласования кри-
законе, есть еще отраслевой на объект критической инфор- процедур териев, объектов и резуль-
регулятор – Минтранс России. мационной инфраструктуры, от татов категорирования
Поэтому процесс согласования которого зависит оцениваемый Одной из серьезнейших про- будет многоэтапным.
критериев, объектов и резуль- объект, не может быть выпол- блем в области воздушного
татов категорирования будет нена в полном объеме. транспорта, влекущей за собой Поскольку обсуждаемые
многоэтапным. Минтрансом соз- значительные финансовые рас- задачи – не самые простые
дана комиссия по согласованию Типовые варианты комбина- ходы перевозчиков и субъектов и стоят на пересечении зон
перечней объектов у подведом- ций для категорирования: транспортной инфраструктуры, ответственности кибербезо-
ственных организаций. Пред- l организация осуществляет является выполнение требова- пасности, информационных
ставители отрасли обязаны про- деятельность в сфере транс- ний обеспечения безопасности технологий и промышленной
вести инвентаризацию ИС, порта, но ее процессы вообще в сфере транспорта и авиа- автоматизации, перевозчики
ИТКС и АСУ, составить пере- не автоматизированы, и орга- ционной безопасности. Активно совершенно разумно
чень объектов КИИ, подлежа- низация не имеет свои ИС; обсуждаемые в сообществе используют все возможные
щих категорированию, и напра- l организация осуществляет работы по гармонизации зако- способы, чтобы не попасть
вить в Минтранс. Принятое деятельность в сфере транс- нодательства, которые направ- под требования 187-ФЗ.
комиссией решение о согласо- порта, но не имеет свои ИС лены на исключение избыточ-
вании перечней объектов КИИ, и пользуется услугами подряд- ных и дублирующих норм, еще • 13
подведомственных Минтрансу чика; не завершены. Появление
России служб, агентств, пред- l организация осуществляет дополнительных требований по
приятий, учреждений и органи- деятельность в сфере транс- обеспечению безопасности объ-
заций, направляется соответ- порта и имеет собственные ИС ектов КИИ необходимо для
ствующему субъекту критиче- либо использует чужие на дальнейшего повышения транс-
ской информационной инфра- законных основаниях; портной безопасности как объ-
структуры. l организация не осуществляет ектов транспортной инфра-
деятельность в сфере транс- структуры, так и транспортных
Согласно 127-ПП, категории порта, но имеет ИС, функцио- средств по видам транспорта.
присваиваются объекту (ИС, нирующие в сфере транспорта.
АСУ, ИТКС), если он задей- Транспортной отрасли и до
ствован в автоматизации про- Прямое попадание под тре- появления требований к КИИ
цесса, нарушение или прекра- бования в настоящий момент не хватало четкой и разумной
щение которого может привести есть только для третьего вари- законодательной базы, которая
к негативным социальным, анта. Остальные три просто не учитывала бы интересы как
политическим, экономическим, смогут выполнить все требова- государства, так и субъектов
экологическим последствиям, ния и будут иметь законные транспортной инфраструктуры.
последствиям для обеспечения основания, чтобы их не выпол- Нестабильность, очевидная
обороны страны, безопасности нять. Поскольку обсуждаемые перегруженность и избыточ-
государства и правопорядка. задачи – не самые простые ность требований 127-ПП и при-
и стоят на пересечении зон казов ФСТЭК России приводят
Однако часто владелец про- ответственности кибербезопас- к тому, что основной упор дела-
цесса и владелец ИС – разные ности, информационных техно- ется на организационные меры,
юридические лица. Инвентор- логий и промышленной авто- позволяющие обеспечить про-
ные системы бронирования, матизации, перевозчики совер- тиводействие кибератакам.
системы регистрации пассажи- шенно разумно используют все Подобный подход в отдельных
ров и багажа, автоматизиро- возможные способы, чтобы не случаях может оказаться мало-
ванные распределительные попасть под требования 187-ФЗ. эффективным с точки зрения
(дистрибутивные) системы, Если такой возможности нет, реальной информационной без-
системы взаиморасчетов, да и субъекты всяческими спосо-
простые, привычные уже для бами пытаются признать свои
всех облачные сервисы не пере- объекты незначимыми и мини-
даются клиенту даже на правах мизировать количество обору-
аренды, но обеспечивают ему дования, входящего в состав
функционирование процессов. объекта КИИ.
Предусмотрена совместная
оценка лишь в случае зависи- По планам ФСТЭК России
мости одного объекта КИИ от процесс присвоения категорий
другого: "оценка проводится по объектам критической инфор-
совокупному масштабу возмож- мационной инфраструктуры
ных последствий от нарушения должен был завершиться в
или прекращения функциони- 2019 г., после чего предполага-
рования всех взаимозависимых лось начать построение системы
процессов". безопасности, однако на теку-
щий момент далеко не все субъ-
Границы объекта КИИ просто екты транспортной инфраструк-
не позволяют оценивать ущерб, туры провели категорирование.
который может быть нанесен
инфраструктуре или процессам Давайте рассмотрим причи-
других компаний. Соответствен- ны, которые позволяют пере-
но, оценка масштаба возмож- возчикам и субъектам транс-
ных последствий, предусмот- портной инфраструктуры задер-

В ФОКУСЕ

Таблица Год принятия Название Описание
Стандарт 2005 Commercial aircraft information security
ARINC 811 concepts of operation and process Общее понимание концепций информационной
2005–2009 framework безопасности. Основа для оценки безопасности
ARINC 664 Aircraft data network бортовых сетевых систем
2011
DO-178C Software considerations in airborne Методы построения детерминированной борто-
2014 systems and equipment certification вой сети Определены домены информационной
ED-202 /DO-326 2018 безопасности на борту ВС
ED-202A /DO-326A 2014 Airworthiness security process
ED-203 /DO-356 2018 specification Стандарт в области безопасности программного
ED-203A /DO-356А 2014 обеспечения в авиационной отрасли
ED-204 /DO-355 2017 Airworthiness security methods
ATA Spec 42 and considerations Руководящие принципы процесса обеспечения
2018 информационной безопасности
HLCAS/2-WP/27 Information security guidance
for continuing airworthiness Методы и инструменты для достижения целей
Aviation industry standards for digital процесса обеспечения безопасности
information security
Руководство по обеспечению информационной
Aircraft digital protection – an integrated безопасности для поддержания летной годности
approach
Требования к взаимной идентификации
и управлению доступом между отдельными
узлами и агрегатами самолета
Комплексный подход к управлению рисками для
авиационных систем

Возникают ситуации, опасности, но реализованные с стоятельно, в большинстве слу- В России, к сожалению, нет
когда реализовать какую-то его использованием меры чаев будет означать нарушение стандартов информационной
из базовых мер безопасно- защиты будут соответствовать условий эксплуатации ВС, кото- безопасности в ГА. Совершенно
сти на отдельном объекте требованиям приказа Феде- рые предписаны производите- очевидно, что государству
КИИ невозможно. Напри- ральной службы по техническо- лем. необходимо развитие отече-
мер, так случается на воз- му и экспортному контролю от ственных отраслевых ИС, кото-
душном судне (ВС) в силу 25.12.2017 г. № 239 "Об утвер- Отсутствие стандартов ИБ рые обеспечивают полный цикл
запрета установки на него ждении Требований по обес- и импортозамещение коммерческой деятельности,
дополнительного программ- печению безопасности значи- связанной с продажей авиапе-
ного обеспечения, в том мых объектов критической Необходимо формирование ревозок, от систем, обеспечи-
числе антивирусов. информационной инфраструк- единого отраслевого механизма вающих хранение и реализацию
туры Российской Федерации" непрерывного мониторинга ресурса мест, до регистрации
Жизненно необходимы (239-П). кибербезопасности в сфере пассажиров и багажа в аэро-
российские технологии и транспорта и обмен информа- порту. Развитие этого направ-
технические средства, пред- Возникают ситуации, когда цией со всеми заинтересован- ления невозможно в отрыве от
назначенные для детектиро- реализовать какую-то из базо- ными участниками. Не хватает кибербезопасности и принятия
вания и предотвращения вых мер безопасности на специфического методического собственных стандартов. Это
компьютерных атак на бор- отдельном объекте КИИ невоз- сопровождения организаций потребует много сил, времени
товые информационные можно. Например, так случается сферы транспорта как в целом и средств, но станет настоящим
системы. на воздушном судне (ВС) в силу по вопросам информационной шагом вперед в деле миними-
запрета установки на него безопасности, так и в части зации рисков угроз националь-
14 • дополнительного программного исполнения 187-ФЗ. ной безопасности.
обеспечения, в том числе анти-
вирусов. В этом случае субъект О проблемах взаимосвязан- Особое внимание должно
вправе отказаться от такой ности действий государствен- быть уделено отечественным
меры безопасности, но при этом ных структур РФ и отсутствии ИС и системам защиты. Для
он должен оценить, реализация собственных стандартов инфор- этого необходимо создание
каких угроз становится при этом мационной безопасности в и развитие отечественных внут-
возможна, и принять какие-то гражданской авиации и плохой риотраслевых стандартов ИБ
иные меры для защиты от них. связанности с иностранным и правил сертификации техни-
Приказ ФСТЭК № 239 это раз- и международным законода- ческих решений защиты, кото-
решает и называет адаптацией тельством в авиации я уже рые можно было бы применить
базового набора мер безопас- писал ранее5. в ГА. Жизненно необходимы
ности. Очевидно, что такой российские технологии и тех-
адаптированный набор мер не Для примера возьмем ситуа- нические средства, предназна-
позволяет нейтрализовать все цию в гражданской авиации ченные для детектирования и
угрозы. Но расширить этот (ГА). По сути, ИС каждого ВС – предотвращения компьютерных
набор дополнительными мера- цель для кибератаки и рас- атак на бортовые информацион-
ми, в том числе разработать сматривается как объект КИИ. ные системы. Должны быть не
дополнительные меры само- Зарубежные стандарты и их только программные, но и пра-
краткое описание приведены в
таблице.

5 Подробнее см. Подмарев А.В. ИБ в гражданской авиации: некоторые вопросы обработки ПД и
безопасности КИИ // Information Security/ Информационная безопасность. 2020. № 1 . С. 6–7.

КИИ www.itsec.ru

вовые, организационные сред- ственность по ст. 274.1 Уго- аудиты, сертификацию, атте- Выполнить требования
ства, средства сбора и анализа ловного кодекса Российской стацию и мероприятия, которые 239-П в части выстраивания
информации, поддержки при- Федерации, которая появляет- необходимы для обеспечения процесса автоматизирован-
нятия управленческих решений ся после признания объекта транспортной безопасности. ного обнаружения инциден-
(ситуационные центры), пред- КИИ. Статьей предусмотрена Анализ показывает, что эти тов ИБ, который, в свою
назначенные для обнаружения, ответственность за нарушения меры слабо увязаны с инфор- очередь, требует обеспечить
предупреждения и ликвидации в сфере КИИ вплоть до лише- мационной безопасностью, централизованный сбор,
последствий компьютерных ния свободы сроком на 10 лет а затраты не всегда оправданы. обработку, хранение и ана-
атак на транспорте и объектах в случае нарушений, повлек- Теперь, согласно п. 35 и п. 36 лиз событий ИБ с использо-
транспортной инфраструктуры. ших тяжкие последствия. Требований к созданию систем ванием исключительно оте-
В законе о КИИ дается недву- безопасности значимых объ- чественных решений – зада-
Постановлением Правитель- смысленная трактовка: в слу- ектов критической информа- ча не очень реальная.
ства РФ от 21 декабря 2019 г. чае, если объект КИИ не был ционной инфраструктуры РФ
№ 1746 в целях обеспечения защищен должным образом и и обеспечению их функциони- Очень осторожно следует
безопасности КИИ на два года ему был нанесен вред, долж- рования (утв. приказом ФСТЭК подходить к проведению
введен запрет на допуск ностные лица могут понести России от 21 декабря 2017 г. внутренних служебных рас-
к закупкам иностранных про- ответственность в рамках УК № 235) в рамках контроля следований инфраструктур-
граммно-аппаратных комплек- РФ. Надо обратить внимание, состояния безопасности значи- ных инцидентов и инциден-
сов систем хранения данных. что нанесение вреда именно мых объектов КИИ должен осу- тов информационной без-
Много ли известно отечествен- "критической инфраструктуре ществляться внутренний конт- опасности. Необходимо
ных систем хранения данных, РФ", а не "компьютерной роль организации работ по понимать, что отчетные
которые могли бы быть исполь- информации". В данном случае обеспечению их безопасности документы по результатам
зованы для хранения логов? размер вреда легко рассчиты- и эффективности принимаемых таких проверок могут
Вопрос риторический. вается следователем и дока- организационных и технических использоваться правоохра-
зывается в суде. Создание мер защиты. К этому добав- нительными органами для
Выполнить требования 239-П системы безопасности по тре- ляются требования по анализу возбуждения уголовного
в части выстраивания процесса бованиям ФСТЭК России толь- уязвимостей на этапе создания, дела в течение последую-
автоматизированного обнару- ко усугубляет ситуацию для до ввода в эксплуатацию и щих 10 лет.
жения инцидентов ИБ, который, субъекта КИИ, так как в случае в ходе его эксплуатации (п. 12.6.,
в свою очередь, требует обес- нанесения вреда может квали- п.13, п. 13.2., п. 13.8 239-П). • 15
печить централизованный сбор, фицироваться как нарушение
обработку, хранение и анализ правил эксплуатации на обо- Введение новых требований
событий ИБ с использованием рудовании – это все та же по обеспечению безопасности
исключительно отечественных статья 274.1 УК РФ. объектов КИИ предполагает
решений – задача не очень новые для транспортников под-
реальная. Прежде всего это Для минимизации этих рисков ходы к обеспечению соответ-
связано с запретом производи- имеет смысл провести класси- ствия и прохождению аудита.
теля на установку собственных фикацию информационных Появляется дополнительная
технических средств защиты. систем и документально зафик- финансовая и административ-
Это касается и бортовых систем сировать, что каждая конкрет- ная нагрузка на отрасль, кото-
ВС, и так называемых плат- ная информационная система рая обязательно отражается на
форм фронтальной интеграции, не является объектом КИИ. пассажирах. l
которые позволяют совместное Очень осторожно следует под-
использование аэропортовых ходить к проведению внутрен- Ваше мнение и вопросы
стоек различными авиакомпа- них служебных расследований присылайте по адресу
ниями и системами регистра- инфраструктурных инцидентов
ции. и инцидентов информационной [email protected]
безопасности. Необходимо
Импортозамещение – хоро- понимать, что отчетные доку-
шее дело, но оно не должно менты по результатам таких
реализовываться ценой тоталь- проверок могут использоваться
ного ухудшения реальной без- правоохранительными органа-
опасности из-за невозможности ми для возбуждения уголовного
использовать современные дела в течение последующих
инновационные или проверен- 10 лет.
ные временем средства защи-
ты. Для множества технологий Обязательность
защиты просто не существует проведения аудита ИБ
отечественных аналогов ПО
и устройств. Если в условиях В основе Плана транспортной
отсутствия стандартов запре- безопасности, составить и реа-
щать ввоз средств защиты, мы лизовать который предписывает
получим то, что уже имеем: Федеральный закон от
те же импортные устройства 09.02.2007 г. N 16-ФЗ "О транс-
с переклеенными шильдиками портной безопасности", лежит
и немногочисленные отечествен- оценка уязвимостей объектов
ные аналоги плохого качества. транспортной инфраструктуры.
Ни то, ни другое повышению Результаты направляют на
уровня ИБ не способствует. утверждение в компетентные
органы в области обеспечения
Уголовная ответственность транспортной безопасности.

Следующим серьезным пре- Перевозчики привыкли к
пятствием для честной катего- значительным затратам на
ризации часто является ответ-

В ФОКУСЕ

Трансформация бизнеса
в условиях кризиса

Кирилл Солодовников, генеральный директор Инфосекьюрити
(входит в ГК Softline)

К ирилл Солодовников рассказал нашему журналу, как меняет-
ся мир информационной безопасности, как увидеть и исполь-
зовать новые возможности для развития бизнеса, возникаю-
щие в условиях кризиса.

– Кирилл, как изменился бизнес – С какими проблемами и вызо- Operation Center, который мы стали
компании за последние три года? вами пришлось столкнуться строить с 2014 года. Первое время его
в первый период при трансфор- задачи были ориентированы на проти-
– Конечно, смена ориентации с одно- мации бизнеса? водействие хакерским атакам в финан-
го крупного заказчика на работу со совом секторе, однако спустя несколь-
всем внешним бизнесом стала для ком- – До 2018 года ряд сервисов и услуг ко лет мы предположили, что со вре-
пании серьезным вызовом, предпола- компании, таких как контроль за исполь- менем мошенники сменят свой фокус
гающим существенные изменения в зованием конфиденциальной информа- интереса и услуги круглосуточного
бизнес-модели. ции и информации, составляющей ком- мониторинга инцидентов ИБ будут акту-
мерческую тайну, информационная ана- альны для всех отраслей бизнеса.
За это время произошли серьезные литика, расследование инцидентов и Наши предположения оправдались.
изменения, не все из них в лучшую т.д., были закрытыми и нетиражируе- А потом был принят федеральный
сторону, но компания сохранила основ- мыми ввиду специфического отношения закон о КИИ и создана государственная
ной костяк сотрудников и бизнес. Назо- рынка к вопросу обеспечения ИБ. Поэто- система обнаружения, предупреждения
ву несколько самых значимых. Инфо- му ключевой, жизненно важной задачей и ликвидации последствий компьютер-
секьюрити стала частью Группы ком- стал процесс вывода на рынок, а также ных атак (ГосСОПКА).
паний Softline, трансформировались поддержка таких сервисов, со всеми
услуги, предоставляемые заказчикам: сопутствующими операциями: анализом Сейчас мы предвидим рост цифровых
на смену классическим ИБ-услугам рынка, созданием поддерживающих угроз в связи с digital-трансформацией
пришли унифицированные пакетные материалов, разработкой политик моти- бизнеса в целом и в том числе из-за
сервисы по модели MSSP. Это позво- вации и ценообразования, работой с вынужденного, незапланированного
лило сделать наши услуги еще более отраслевыми средствами массовой перехода компаний "на удаленку". Таким
доступными для заказчиков с разным информации. Конечно, все эти активно- образом, у нас появился сервис ETHIC –
уровнем зрелости процессов инфор- сти нужно было запустить и адаптиро- система комплексного контроля
мационной безопасности, независимо вать в крайне сжатые сроки. и выявления цифровых угроз бизнесу,
от отрасли, размера компании, терри- действующая за пределами защищен-
ториальной принадлежности и специ- Второй задачей стало построение пол- ного периметра компании.
фики бизнеса. ноценного направления Pre-Sale, так как
помимо унифицированных MSSP-серви- – Пришлось ли отказаться от
В результате мы получили кардиналь- сов, которые мы предлагали, мы стали каких-то услуг или продуктов
ные изменения в портфеле клиентов. реализовывать больше проектов, в том в связи с изменившейся конъ-
На смену узкоспециализированной числе и комплексных. Все они требовали юнктурой рынка?
направленности на банковский сектор подключения системных архитекторов для
пришло присутствие практически во проектирования и интеграции нескольких – Да, действительно, от ряда вспомо-
всех системообразующих отраслях биз- решений, как правило, от нескольких раз- гательных услуг и сервисов пришлось
неса нашей страны, а также на внешнем работчиков. Пришлось также перестроить отказаться, хотя правильнее сказать,
рынке. работу и проектного офиса с внутренних что часть компетенций мы трансформи-
проектов на работу с клиентами. ровали под потребности рынка.
Оглядываясь назад и подводя
итоги трансформации, можно с уве- Конечно, все эти задачи удалось реали- – Назовите топ-3 основных
ренностью сказать: сегодня Инфо- зовать далеко не сразу, был пройден боль- достижений, ключевых проектов
секьюрити – один из игроков не шой путь, набито много шишек, но мы учи- компании с 2018 года по настоя-
только на российском рынке, но и на лись на своих ошибках и делали соответ- щее время.
рынке ближнего зарубежья. Посте- ствующие выводы. В результате могу ска-
пенно мы выходим и на междуна- зать, что мы успешно прошли этот терни- – Первое и основное – это сохранение
родный рынок. стый путь, а компания поменяла свою биз- бизнеса, экспертизы и продолжение
нес-модель в соответствии с жесткими работы на рынке. Второе – развитие
16 • требованиями рынка и его ритмом. и перестроение одного из наших флаг-
манских проектов – Security Operations
– Какие направления бизнеса Center (SOC), теперь мы его предостав-
неожиданно выстрелили? ляем в трех моделях: Cloud, On-Premise,
Hybrid (на базе сертифицированных
– Сложно сказать, были ли у нас SIEM). Третье – вывод на рынок продук-
такие направления. Могу рассказать тов ETHIC, DLP as a Service.
про построение собственного Security

ПЕРСОНЫ www.itsec.ru

– Какие, на ваш взгляд, три вятся не нужны: зачем создавать вирус, пансию на зарубежные рынки. Напри-
ключевые тенденции/направле- троян или шпионскую программу, если мер, сейчас построен полноценный центр
ния кибербезопасности станут вам могут поднести информацию на мониторинга инцидентов в сфере ИБ
актуальными в ближайшей пер- блюдечке с голубой каемочкой? в азиатском регионе. В 2019 году реа-
спективе? лизованы сервисные проекты в Европе,
Из всего этого вытекает, что обучение проекты в Латинской Америке и Азии.
– Первое и основное, в связи с отсут- сотрудников – незаменимое средство Информационная безопасность давно
ствием достаточного числа специалистов защиты активов любой компании. Чтобы уже стала общей проблемой, поэтому
ИБ в мире, – увеличение спроса на про- обучение было эффективным, нужно мы уверены, что наши решения будут
дукты облачной безопасности, а также проводить его регулярно и сделать как востребованы и в других странах.
аутсорсинга и MSSP, и такой запрос можно более интересным. С первым
виден в РФ. Три года назад подобные все обычно неплохо, а вот о втором – Как работает ваша команда
сервисы требовалось долго рекламиро- часто забывают. в период кризиса, который раз-
вать и объяснять, зачем они нужны, сей- вивается на фоне пандемии? Что
час рынок уже понимает особенности – Как вы оцениваете уровень стало самым сложным для вас
аутсорсинга и его плюсы. Облачные сер- зрелости российского бизнеса в и для ваших клиентов?
висы и MSSP в перспективе выгодны: области информационной без-
l во-первых, это сокращение расходов, опасности в сравнении с другими – Инфосекьюрити относится к числу
поскольку нет необходимости покупать странами? компаний, осуществляющих непрерыв-
специализированное ПО и оборудова- ную деятельность, в связи с чем весь
ние, кроме того, оплата происходит – Российский рынок информационной персонал перешел на дистанционную
исключительно за фактически оказан- безопасности, независимо от отрасли, работу. Более того, в текущих условиях
ные услуги клиенту; достаточно консервативен, и потому пока все сервисы компании оказываются
l во-вторых, услуги оказываются про- речь идет про аутсорсинг; выбирая между в штатном режиме, SLA выполняется,
фессионалами, которые, основываясь собственным контролем за системами и рабочий режим функционирования ком-
на собственном опыте, помогут вам качеством процесса, отдают предпочтение пании никак не нарушен.
быстро и грамотно реагировать на инци- первому. Но мы видим, что мир в целом
денты и справляться с другими трудно- все же "мигрирует в облака", особенно Безусловно, в нестабильные времена
стями. Заказчику, в свою очередь, оста- очевидным это становится при работе с единственный способ двигаться вперед –
ется сосредоточиться на основном биз- западными партнерами. А поскольку Рос- это меняться и адаптироваться. Мы ока-
несе и забыть об ИБ, ну или же только сия по многим вопросам следует за ними зываем нашим клиентам всяческую под-
контролировать и оптимизировать услу- с небольшим запозданием, то я уверен, держку и консультации, так как многие
ги, оказываемые сервис-провайдером. что и на российском рынке будет прева- заказчики сейчас работают удаленно,
лировать такой подход. а также запустили комплекс мероприятий,
В России облачные сервисы и MSSP позволяющих обеспечить дополнитель-
сейчас начинают набирать обороты. А вот в банковском и финансовом ную безопасность и стабильность работы
Хотя до мировых показателей, конечно, секторах за счет строгого контроля со при использовании удаленного доступа.
еще далековато, но с каждым годом все стороны отраслевых регуляторов уровень Но не стоит забывать про необходимость
больше заказчиков начинают доверять зрелости процессов обеспечения инфор- нахождения "в контакте" с заказчиками
сервис провайдерам, передавая на аут- мационной безопасности уже может и партнерами, поэтому мы переориенти-
сорсинг ключевые ИT- и ИБ-процессы. посоперничать с развитыми странами. ровали многие наши публичные меро-
приятия в онлайн-формат.
Преимуществом такой модели – Каковы планы компании на
ближайшее время? Планируется – Какие возможности открыл
является то, что заказчик может ли выходить с услугами на меж- для вас нынешний кризис?
дународные рынки? Какие услуги
выбрать требуемый ему уровень будут актуальны, а также какие – Безусловно, текущая ситуация испы-
страны интересны в первую оче- тывает всех нас на прочность. Но я уве-
сервиса, исходя из собственной редь? рен, что любой кризис – это в первую
очередь возможности, нужно только их
оценки рисков в сфере ИБ и своих – Отмечу, что, оценивая потенциал видеть и реализовывать.
наших сервисов, мы руководствовались
финансовых возможностей. степенью их востребованности не только Сейчас наша самая главная задача –
на российском рынке, но и на междуна- протянуть руку помощи нашим клиентам
Второе – это увеличение регуляторных родном уровне. Инфосекьюрити входит и партнерам. l
требований со стороны государств, как в международную группу компаний Soft-
законодательство (187-ФЗ, ГосСОПКА, line, что позволило нам не останавли- Ваше мнение и вопросы
GDPR), так и политические решения в ваться на России и странах СНГ, а пол- присылайте по адресу
части суверенитизации Интернета. Это ноценно проработать и реализовать экс-
актуально и для России, и для других [email protected]
стран, например Евросоюза.
• 17
Третьим и одним из вечных трендов
информационной безопасности считаю
повышение осведомленности персона-
ла в вопросах обеспечения ИБ. Если
компания не обучает своих сотрудников
правилам ИБ, то нарушение этих пра-
вил – просто дело времени: нельзя
соблюдать то, чего не знаешь. В каче-
стве внешней угрозы выступают
мошенники – социальные инженеры.
Чтобы заполучить ценные данные, они
паразитируют на человеческих слабо-
стях – любопытстве, доверчивости,
боязни санкций со стороны начальства.
Сложные технические решения стано-

ПРАВО И НОРМАТИВЫ

Изменения в законодательстве
на фоне пандемии COVID-19

Анастасия Заведенская, аналитик Аналитического центра Уральского центра
систем безопасности

Март-2020

В мартовском обзоре 2020 года рассмотрим рекомендации
регуляторов в области информационной безопасности
в условиях пандемии коронавируса. Поговорим также
о выдержках из давно ожидаемых требований к уровням
доверия средств защиты информации ФСТЭК России
и немного об СКЗИ, используемых в платежных системах.

Перечень сокращений В связи с пандемией меры по выявлению заболева- предупреждает об активном
и обозначений коронавируса в марте ния связаны с определением использовании злоумышленни-
АСУ – автоматизированные 2020 г. регуляторы про- возможности выполнения тру- ками ситуации вокруг пандемии
системы управления вели активную разъясни- довых функций, согласие работ- для осуществления широкого
ГИС – государственные тельную работу по пред- ника на измерение температуры спектра вредоносной деятель-
информационные системы отвращению угроз информа- не требуется. ности и публикует рекоменда-
ИСПДн – информационные ционной безопасности. Далее ции по противодействию угро-
системы персональных данных представлена краткая сводка ФСТЭК России зам информационной безопас-
КИИ – критическая инфор- рекомендаций по деятельности ности. Специалисты НКЦКИ
мационная инфраструктура в условиях пандемии от над- ФСТЭК России разработала выделяют два типа вероятных
НДВ – недекларированные зорных органов. для субъектов критической угроз:
возможности информационной инфраструк-
ПДн – персональные данные Роскомнадзор туры (далее – КИИ) рекоменда- 1. Мошенничество.
УЗ – уровень защищенности ции по обеспечению безопас- 2. Угрозы, связанные с уда-
Роскомнадзор разъяснил осо- ности объектов КИИ при реали- ленным режимом работы.
18 • бенности использования тепло- зации дистанционного режима Стоит отметить, что данные
визоров работодателями – опе- исполнения работниками долж- угрозы актуальны не только
раторами персональных данных ностных обязанностей2. Отме- в обстоятельствах пандемии,
(далее – ПДн) с целью пред- чается, что предоставление уда- а значит руководствоваться реко-
отвращения распространения ленного доступа для управления мендациями НКЦКИ можно
коронавируса1. Необходимо режимами функционирования и нужно не только в ее условиях.
обратить внимание на то, что оборудования, входящего в
температура тела относится к состав автоматизированных Банк России
специальным категориям ПДн, систем управления, являющих-
что накладывает дополнитель- ся значимыми объектами КИИ, Банк России разработал
ные обязанности по обработке запрещено. В рекомендациях и рекомендовал финансовым
такой информации. Поскольку также приводится ряд мер по организациям меры по обес-
минимизации рисков возникно- печению киберустойчивости и
вения угроз безопасности информационной безопасности
информации, обрабатываемой в условиях распространения
объектами КИИ при осуществ- коронавируса4.
лении удаленного доступа.
Руководствоваться рекомендо- Кредитным и некредитным
ванными мерами можно и не финансовым организациям при
только во время пандемии. реализации удаленного доступа
с использованием мобильных
Национальный устройств рекомендовано:
координационный центр l применять технологии вирту-
по компьютерным альных частных сетей;
инцидентам (НКЦКИ) l применять многофакторную
аутентификацию;
НКЦКИ опубликовал уведом- l применять терминальный
ление об угрозах безопасности доступ (по возможности);
информации, связанных с пан- l обеспечить мониторинг и
демией коронавируса3. НКЦКИ контроль действий пользовате-
лей удаленного доступа.

1 https://rkn.gov.ru/news/rsoc/news72206.htm
2 https://fstec.ru/component/attachments/download/2713
3 https://safe-surf.ru/specialists/news/645362/
4 https://www.cbr.ru/StaticHtml/File/59420/20200320_in-014-56_17.pdf

ПРАВО И НОРМАТИВЫ www.itsec.ru

При реализации рекомен- Таблица. Класс систем, требующий применения Уровни контроля
даций необходимо использо- СрЗИ, соответствующих СрЗИ по выявлению
вать ГОСТ Р 57580.1–2017 соответствующие уязвимостей и НДВ
"Безопасность финансовых уровню доверия Значимые объекты КИИ 3 категории 6 уровень контроля
(банковских) операций. Защи- 6 уровень доверия ГИС 3 класса защищенности
та информации финансовых АСУ производственными и технологическими 5 уровень контроля
организаций. Базовый состав 5 уровень доверия процессами 3 класса защищенности
организационных и техниче- ИСПДн при 3 и 4 УЗ ПДн 4 уровень контроля
ских мер" (далее – ГОСТ Р 4 уровень доверия Значимые объекты КИИ 2 категории
57580.1–2017). В частности, в ГИС 2 класса защищенности
ГОСТ Р 57580.1–2017 выде- АСУ производственными и технологическими
лен целый блок под описание процессами 2 класса защищенности
мер по защите информации ИСПДн при 2 УЗ ПДн
при осуществлении удален- Значимые объекты КИИ 1 категории
ного логического доступа ГИС 1 класса защищенности
работников финансовой орга- АСУ производственными и технологическими
низации с использованием процессами 1 класса защищенности
мобильных (переносных) ИСПДн при 1 УЗ ПДн
устройств. Информационные системы общего
пользования 2 класса
В информационном сообще-
нии Банк России также уста-
навливает временные регуля-
торные послабления в отноше-
нии финансовых организаций,
допустивших нарушение требо-
ваний нормативных актов Банка
России.

Требования доверия Информация о том, в каких информации в платежных ФСТЭК России разрабо-
случаях необходимо приме- тала для субъектов критиче-
ФСТЭК России 5 марта 2020 г. нение СрЗИ, соответствую- устройствах с терминальным ской информационной
щих 4, 5 и 6 уровням доверия, инфраструктуры рекоменда-
разместила для общего доступа приведена в таблице. ядром, серверных компонен- ции по обеспечению без-
выписку из Требований по без- опасности объектов КИИ
СКЗИ и 382-П тах платежных систем (HSM- при реализации дистанцион-
ного режима исполнения
опасности информации, уста- Банком России совместно модулях), платежных картах работниками должностных
с ФСБ России разработаны обязанностей.
навливающих уровни доверия к и опубликованы требования и иных технических средствах
к средствам криптографиче- ФСТЭК России 5 марта
средствам технической защиты ской защиты информации информационной инфра- 2020 г. разместила для
(далее – СКЗИ), которые ука- общего доступа выписку из
информации и средствам обес- заны в п. 2.20 положения структуры платежной систе- Требований по безопасно-
печения безопасности инфор- Банка России от 9 июня 2012 г. сти информации, устанавли-
№ 382-П. Напомним, что с мы, используемых при осу- вающих уровни доверия к
1 января 2024 г. указанием средствам технической
мационных технологий, утвер- Банка России от 07.05.2018 г. ществлении переводов защиты информации и сред-
№ 4793-У положение № 382-П ствам обеспечения безопас-
жденных приказом ФСТЭК Рос- дополняется новым п. 2.20. денежных средств, указанных ности информационных тех-
Абзацы третий – пятый ука- нологий.
сии от 30 июля 2018 г. № 1315 занного пункта вступают в п. 2.20 положения Банка
в силу с 1 января 2031 г. Банком России совмест-
(далее – Требования к уровням России от 9 июня 2012 г. но с ФСБ России разработа-
К СКЗИ, в частности, отно- ны и опубликованы требова-
доверия). сятся: № 382-П6; ния к средствам криптогра-
l аппаратный модуль (HSM- фической защиты информа-
Выполнение Требований к модуль); l функционально-техниче- ции.
l платежные устройства с тер-
уровням доверия является минальным ядром; ские требования к техниче-
l платежные карты.
обязательным при проведении ским средствам и программ-
работ по оценке соответствия Перечень документов, уста-
навливающих требования к ному обеспечению, реализую-
вышеуказанным СКЗИ, приве-
(включая работы по сертифи- ден ниже: щим СКЗИ в платежных
l требования к средствам
кации) средств защиты инфор- криптографической защиты устройствах с терминальным

мации (далее – СрЗИ). Требо- ядром7;

вания к уровням доверия носят l функционально-технические
гриф "для служебного поль-
требования к платежным кар-

зования", а СрЗИ, соответ- там (криптомодуль, приложе-

ствующие 1, 2 и 3 уровням ние)8;

доверия, должны применяться l функционально-технические

в информационных (автома- требования к аппаратному

тизированных) системах, обра- модулю безопасности (HSM-

батывающих информацию, модуль)9;

содержащую сведения, l порядок взаимодействия

составляющие государствен- участников процесса поддер-

ную тайну. Поэтому опублико- жания актуального состояния

ванная выписка содержит функционально-технических

лишь информацию о требова- требований к средствам

ниях, предъявляемых к 4, 5 криптографической защиты

и 6 уровням доверия. информации10.

5 https://fstec.ru/127-lenta-novostej/2051-informatsionnoe-soobshchenie-24
6 https://www.cbr.ru/Content/Document/File/104752/FT_32.pdf
7 https://www.cbr.ru/Content/Document/File/104753/FT_33.pdf
8 https://www.cbr.ru/Content/Document/File/104754/FT_34.pdf
9 https://www.cbr.ru/Content/Document/File/104755/FT_35.pdf
10 https://www.cbr.ru/Content/Document/File/104756/FT_36.pdf

• 19

ПРАВО И НОРМАТИВЫ

Апрель-2020

Лицензирование деятель- В апрельском обзоре за 2020 год рассмотрим предложения по сдвигу
ности по технической защи- сроков обязательного использования средств защиты информации,
те конфиденциальной сертифицированных по требованиям к уровням доверия,
информации. в государственных информационных системах и информационных
системах персональных данных. Поговорим о рекомендациях
Вносятся изменения в ФСТЭК России к документарному сопровождению обязательных
регламент предоставления процедур в рамках категорирования объектов КИИ и немного
государственной услуги по о новой, всеми ожидаемой Методике моделирования угроз
лицензированию деятельно- безопасности информации.
сти по технической защите
конфиденциальной инфор- СрЗИ, соответствующие сти информационных техноло- регламент Федеральной службы
мации. В частности, в пере- уровням доверия гий, утвержденным приказом по техническому и экспортному
чень предоставляемых госу- ФСТЭК России от 30 июля контролю по предоставлению
дарственных услуг добавле- 8 апреля 2020 г. ФСТЭК Рос- 2018 г. № 131, приостановлены. государственной услуги по лицен-
на возможность исправле- сии опубликовала проект при- В связи с этим проект приказа зированию деятельности по тех-
ния, по запросу от лицен- каза "О внесении изменения предусматривает сдвиг срока нической защите конфиденци-
зиата, допущенных опечаток в приказ ФСТЭК России от вступления в силу требования альной информации, утвержден-
и (или) ошибок в выданных 28 мая 2019 г. № 106 "О внесе- по применению в ГИС серти- ный приказом ФСТЭК России от
лицензиях на ТЗКИ. нии изменений в Требования о фицированных СрЗИ, соответ- 17 июля 2017 г. № 134"13 офици-
защите информации, не состав- ствующих уровням доверия, до ально опубликован 13 апреля
В информационном ляющей государственную тайну, 1 января 2021 г. 2020 г., вступил в силу 24 апреля
сообщении ФСТЭК России содержащейся в государствен- 2020 г.
от 17 апреля 2020 г. ных информационных системах, 23 апреля 2020 г. ФСТЭК
N 240/84/611 рассматри- утвержденные приказом Феде- России опубликовала для обще- Данным приказом вносятся
ваются вопросы представле- ральной службы по техническо- ственных обсуждений проект изменения в регламент предо-
ния перечней объектов кри- му и экспортному контролю приказа "О внесении изменений ставления государственной услу-
тической информационной от 11 февраля 2013 г. № 17"11 в Состав и содержание органи- ги по лицензированию деятель-
инфраструктуры (далее – (далее – проект приказа). зационных и технических мер ности по технической защите
КИИ), подлежащих катего- по обеспечению безопасности конфиденциальной информации
рированию, и направления Согласно пояснительной персональных данных при их (далее – ТЗКИ). В частности, в
сведений о результатах записке к проекту приказа про- обработке в информационных перечень предоставляемых госу-
категорирования объектов водимые разработчиками и про- системах персональных данных, дарственных услуг добавлена
КИИ. изводителями сертифицирован- утвержденных приказом Феде- возможность исправления, по
ных средств защиты информа- ральной службы по техническо- запросу от лицензиата, допу-
20 • ции (далее – СрЗИ) работы по му и экспортному контролю от щенных опечаток и (или) ошибок
оценке соответствия СрЗИ, при- 18 февраля 2013 г. № 21"12 в выданных лицензиях на ТЗКИ.
меняемых в государственных (далее – проект приказа). Вводится также форма заявле-
информационных системах Обсуждения по проекту приказа ния на предоставление услуг.
(далее – ГИС), Требованиям по продлятся до 7 мая 2020 г.
безопасности информации, Вопросы категорирования
устанавливающим уровни дове- Проект приказа предусматри- объектов КИИ
рия к средствам технической вает внесение изменений в отно-
защиты информации и сред- шении требований, предъявляе- В информационном сообщении
ствам обеспечения безопасно- мых к сертифицированным ФСТЭК России от 17 апреля 2020
СрЗИ, используемым для защи- г. N 240/84/61114 рассматриваются
ты в информационных системах вопросы представления перечней
персональных данных (далее – объектов критической информа-
ИСПДн). В ИСПДн, как и в ГИС, ционной инфраструктуры (далее
необходимо будет применять – КИИ), подлежащих категори-
СрЗИ, соответствующие уровням рованию, и направления сведе-
доверия, с 1 января 2021 г. ний о результатах категорирова-
ния объектов КИИ.
Лицензирование
деятельности по Основные тезисы информа-
технической защите ционного сообщения:
конфиденциальной
информации 1. Направляемый во ФСТЭК
России перечень объектов КИИ,
Приказ ФСТЭК России от подлежащих категорированию,
17.12.2019 г. № 240 "О внесении рекомендовано оформить
изменений в Административный в соответствии с предлагаемой
формой.

11 https://regulation.gov.ru/projects#npa=101028
12 https://regulation.gov.ru/projects#npa=101410
13 http://publication.pravo.gov.ru/Document/View/0001202004130048?index=12&rangeSize=1
14 https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informat-
sionnoj-infrastruktury/290-inye/2076-informatsionnoe-soobshchenie-fstek-rossii-ot-17-aprelya-2020-g-n-240-
84-612

ПРАВО И НОРМАТИВЫ www.itsec.ru

2. Перечень объектов КИИ, Проект Методики При этом Методика определе- Обработка персональных
подлежащих категорирова- моделирования угроз ния актуальных угроз безопас- данных, которые получены
нию, необходимо направлять безопасности информации ности ПДн при их обработке в результате обезличивания
в печатном и электронном в ИСПДн (ФСТЭК России, ПДн в целях исполнения
виде (формат .ods и (или) ФСТЭК России информиру- 2008 г.) и Методика определе- 123-ФЗ, будет разрешена
. odt). ет16 о разработке методического ния актуальных угроз безопас- без получения согласия
документа "Методика модели- ности информации в ключевых субъекта ПДн.
3. Уведомлять ФСТЭК России рования угроз безопасности системах информационной
об отсутствии объектов КИИ информации"17. Предложения инфраструктуры (ФСТЭК Рос- ФСТЭК России информи-
или о том, что организация не и замечания по проекту Мето- сии, 2007 г.) в случае утвержде- рует о разработке методиче-
является субъектом КИИ, не дики моделирования угроз без- ния рассматриваемого проекта ского документа "Методика
нужно. опасности информации (далее – Методики будут отменены. моделирования угроз без-
УБИ) принимались до 30 апреля опасности информации".
4. Сведения о результатах 2020 г. Важные моменты рассматри- Предложения и замечания
категорирования необходимо ваемого проекта Методики по проекту Методики моде-
направлять во ФСТЭК России Для того чтобы новую Мето- моделирования УБИ: лирования угроз безопасно-
в бумажном виде с приложени- дику моделирования УБИ сти информации принима-
ем электронных копий в фор- можно было применять, плани- 1. Моделирование УБИ долж- лись до 30 апреля 2020 г.
мате файлов электронных таб- руется модернизация раздела но проводиться с учетом при-
лиц (формат .ods). "Угрозы" банка данных угроз меняемых в системах и сетях Из основных моментов
безопасности информации СрЗИ. Однако при этом необхо- также стоит отметить, что
5. Обязательный для госу- ФСТЭК России (далее – БДУ димо учитывать возможность Методику необходимо будет
дарственных организаций срок ФСТЭК России). Как видно из наличия в организации работ применять для моделирова-
(для иных субъектов КИИ срок текста проекта Методики, как и применяемых СрЗИ уязвимо- ния УБИ в ИСПДн, инфор-
носит рекомендательный харак- минимум планируется добавить стей, которые могут использо- мационных системах, авто-
тер) по утверждению перечней в БДУ ФСТЭК России тактики ваться для реализации УБИ. матизированных системах
объектов КИИ, подлежащих и соответствующие им техники управления, информацион-
категорированию, истек 1 сен- (способы), использование кото- 2. Для моделирования УБИ но-телекоммуникационных
тября 2019 г. Как следствие, рых возможно нарушителем при возможно привлечение органи- сетях, в том числе отнесен-
категорирование объектов КИИ реализации УБИ. заций, имеющих лицензию ных к объектам КИИ,
должно быть завершено к 1 сен- ФСТЭК России на деятельность в информационно-телеком-
тября 2020 г. Из основных моментов также по ТЗКИ. муникационных инфраструк-
стоит отметить, что Методику турах центров обработки
Изменения в законе необходимо будет применять 3. Ведение модели угроз данных и облачных инфра-
"О персональных данных" для моделирования УБИ в и поддержание ее в актуальном структурах.
ИСПДн, информационных состоянии может осуществлять-
Федеральный закон от системах, автоматизированных ся в электронном виде. • 21
24.04.2020 г. № 123-ФЗ "О про- системах управления, инфор-
ведении эксперимента по уста- мационно-телекоммуникацион- 4. Негативные последствия
новлению специального регу- ных сетях, в том числе отнесен- необходимо будет определять
лирования в целях создания ных к объектам КИИ, в инфор- на основе оценки ущерба (рис-
необходимых условий для раз- мационно-телекоммуникацион- ков) от нарушения основных
работки и внедрения техноло- ных инфраструктурах центров критических процессов.
гий искусственного интеллекта обработки данных и облачных
в субъекте Российской Феде- инфраструктурах, защита 5. Предусмотрены рекомен-
рации – городе федерального информации в которых или без- дации по формированию экс-
значения Москве – и внесении опасность которых обеспечива- пертной группы (состоящей
изменений в статьи 6 и 10 ется в соответствии с требова- минимум из трех экспертов) и
Федерального закона "О пер- ниями по защите информации проведению экспертной оценки.
сональных данных"15 (далее – (обеспечению безопасности),
123-ФЗ) опубликован 24 апреля утвержденными ФСТЭК России 6. При моделировании УБИ
2020 г. в пределах своей компетенции. на этапе эксплуатации систем
и сетей возможность иденти-
Согласно 123-ФЗ в Феде- фикации и использования
ральный закон от 27.07.2006 г. уязвимостей оценивается по
№ 152-ФЗ "О персональных результатам контроля защи-
данных" вносятся изменения, щенности систем и сетей (тести-
вступающие в силу с 1 июля рований на проникновение). l
2020 г. Обработка персональ-
ных данных (далее – ПДн), Ваше мнение и вопросы
в том числе касающихся присылайте по адресу
состояния здоровья, что
является специальной кате- [email protected]
горий ПДн, которые получены
в результате обезличивания
ПДн в целях исполнения
123-ФЗ, будет разрешена без
получения согласия субъекта
ПДн.

15 http://publication.pravo.gov.ru/Document/View/
0001202004240030

16 https://fstec.ru/normotvorcheskaya/informatsionnye-i-analitich-
eskie-materialy/2071-informatsionnoe-soobshchenie-fstek-rossii-ot-9-
aprelya-2020-g-n-240-22-1534

17 https://fstec.ru/component/attachments/download/2727/

ПРАВО И НОРМАТИВЫ

Краткий обзор судебной практики по применению
статьи 274.1 Уголовного кодекса РФ

Алексей Подмарев, Ассоциация руководителей служб информационной безопасности (АРСИБ),
Комитет по безопасности критической информационной инфраструктуры

В ст. 274.1 УК РФ предусмотрена уголовная ответственность за
неправомерное воздействие на КИИ РФ с помощью создания,
распространения или использования компьютерных программ.
Статистически значимой судебной практики по применению
ст. 274.1 УК РФ пока нет, ниже приведен краткий обзор
нескольких судебных дел.

Петропавловск- программное обеспечение, первого заседания, подсудимый
Камчатский выполняющее функции нагру- получил судебный штраф, согла-
зочного тестирования интернет- сился на полное возмещение
Первое дело (№ 1- ресурсов. Саму такую функцио- ущерба и был освобожден от
345/2019), где появилось нальность суд определил как уголовной ответственности.
обвинение по этой статье, "заведомо предназначенную для
было рассмотрено в Пет- неправомерного воздействия на Владивосток
ропавловске-Камчатском критическую информационную
31 мая 2019 г. Постра- инфраструктуру Российской Следующие два дела были
давшие объекты КИИ – Федерации, в том числе для бло- рассмотрены в сентябре того
два сайта Роскомнадзора, для кирования информации, содер- же 2019 г. во Владивостоке.
неправомерного воздействия на жащейся в ней". В результате Оба они связаны с осуществ-
них использовалось специальное доступ к сайтам был затруднен лением неправомерного досту-
в общей сложности примерно на па к охраняемой компьютерной
25 мин. Подсудимый раскаялся информации.
и был полностью освобожден от
уголовной ответственности. По делу № 1-376/2019 было
выявлено причинение имуще-
Волгоград ственного вреда оборонному
предприятию – субъекту КИИ.
Чуть позже та же ч. 1 ст. 274.1 Группа из трех лиц с помощью
УК РФ фигурировала в деле специализированного ПО про-
№ 1-337/2019 от 16.08.2019 г. в никла через протокол RDP
Волгограде. Подробности уго- в компьютеры оборонного пред-
ловного дела неизвестны, но приятия, зашифровала данные
оно было прекращено в ходе на жестком диске и потребова-
ла выкуп, судя по сумме в руб-
Следует отметить, что под правилами эксплуатации, упоминаемыми лях, в размере одного биткойна.
в судебных процессах, понимаются не только внутренние нормативные акты Суд принял во внимание явку
организации, которой принадлежит информационная система, но и правила, с повинной и добровольное воз-
определяющие порядок работы с ЭВМ, – нормативные акты, государственные мещение ущерба и в особом
стандарты, инструкции, правила, техническое описание, положение, приказы порядке назначил наказание –
и т.д., установленные изготовителями оборудования, разработчиками ПО, по два года условно каждому
а также компетентными государственными органами. Мнение, что только из подсудимых.
субъект КИИ (владелец информационной системы) может устанавливать
правила эксплуатации объекта КИИ, является ошибочным. В деле № 1-368/2019 от
Приказ № 239 ФСТЭК требует от субъекта КИИ проводить анализ уязвимостей на 25.09.2019 г. выявлены нару-
периодической основе и выполнять управление обновлениями. Когда (и если шения правил эксплуатации
будет) реализована успешная атака на объект КИИ с причинением существенного и предъявлены обвинения по ч. 4
вреда, невыполнение этих требований будет квалифицировано как уголовное ст. 274.1 УК РФ (служебное
преступление, ответственность за которое лежит на субъекте КИИ. положение) работнику субъекта
Понятие "существенный вред" – оценочное. Эта неоднозначность в сочетании КИИ. Сотрудница отдела про-
с большим сроком давности может сделает статью удобной для оказания даж компании связи в день
давления со стороны следствия. увольнения скопировала из
Владельцы объекта информационной инфраструктуры, понимая, что автоматизированной системы
самостоятельно должны определить, относятся ли они к субъектам КИИ, персональные данные абонен-
предпочитают указать, что таковыми не являются, или пытаются передать тов и отправила по электронной
сервисное обслуживание имеющихся информационных ресурсов другому почте своему знакомому. Под-
юридическому лицу. Оператор, которому передан на эксплуатацию судимая признала вину, судеб-
информационный ресурс, может не попадать под действия 187-ФЗ и не знать, ное рассмотрение прошло
для обеспечения каких процессов используется инфраструктура. в особом порядке, вынесено
Была ли присвоена правильная категория значимости или категорирование наказание – три года лишения
вообще не проводилось, для уголовной ответственности не играет никакой свободы условно. l
роли. Ст. 274.1 УК РФ распространяется даже на тех владельцев систем,
которые не провели категорирование и не считают себя субъектами КИИ. Ваше мнение и вопросы
присылайте по адресу

[email protected]

22 •

УПРАВЛЕНИЕ www.itsec.ru

Измерение эффективности SOC

Часть 1

Алексей Лукацкий, консультант по информационной безопасности

В конце прошлого года в России прошел SOC Forum,
собравший на своей площадке более 2 тыс. человек,
интересующихся темой мониторинга информационной
безопасности. Во время подготовки к этому мероприятию на
сайте форума был запущен опрос среди владельцев центров
мониторинга ИБ (Security Operations Center, SOC),
им задали более тридцати вопросов, в том числе и об оценке
своей эффективности.

Если мы посмотрим на Время оценке эффективности Чем быстрее мы обнару-
результаты этого опроса, то современного SOC. живаем инцидент, чем
увидим, что число SOC, исполь- По названным выше причи- быстрее мы реагируем на
зующих метрики для измерения нам измерение числа инциден- Если мы посмотрим на него, тем меньше ущерб.
своей эффективности, очень тов – это не единственная мет- временную шкалу любо- Это очевидный факт, кото-
невелико: ее измеряют всего рика, которая должна оцени- го инцидента, то увидим, рый лежит в основе измере-
15% SOC, работающих в Рос- ваться SOC. Ее необходимо что ее можно разбить на ния эффективности многих
сии. В мире ситуация тоже не всегда сопровождать вторым несколько ключевых так назы- центров мониторинга
идеальна: далеко не все цент- значимым показателем. Это ваемых реперных точек, харак- безопасности.
ры мониторинга занимаются время! Это критический фактор, теризующих инцидент. Начина-
оценкой эффективности своей который очень важен при оцен- ем мы с момента реализации • 23
деятельности. Хотя надо при- ке того, насколько эффективно угрозы, затем переходим
знать, что уровень зрелости работают специалисты, техно- к факту обнаружения инцидента
зарубежных SOC выше, чем логии или процессы SOC. Чем или угрозы с помощью исполь-
у нас, как и число тех, кто быстрее мы обнаруживаем зуемых нами решений или за
измеряет себя и применяет для инцидент, чем быстрее мы реа- счет обращения пользователя
этого различные метрики. гируем на него, тем меньше и отправки в SOC соответствую-
Какие же метрики можно ущерб. Это очевидный факт, щего сигнала тревоги. Продол-
использовать для того, чтобы который лежит в основе изме- жая, мы переходим к моменту
показать себе и руководству, рения эффективности многих начала приоритизации инциден-
что инвестиции, сделанные центров мониторинга безопас- та, позволяющего нам приори-
в SOC, сделаны не зря? Давай- ности. Именно поэтому число тизировать и усилия по реаги-
те попробуем посмотреть на инцидентов, а также временные рованию, не размениваясь по
распространенные примеры. параметры, связанные с ними, мелочам и не тратя время
являются наиболее часто и иные ресурсы на борьбу с
Число инцидентов используемыми метриками при ветряными мельницами в ущерб

Число инцидентов – самая Рис. 1.
простая метрика. Ее легко
посчитать и показать динамику
изменения. Но за ее простотой
скрывается и ряд сложностей.
Если в прошлом месяце у меня
был 21 инцидент, а в этом – 33,
то с чем связан такой 50%-ный
рост? Нас стали больше атако-
вать? Или мы покрыли монито-
рингом большее число систем?
Или мы улучшили качество
мониторинга? А может, мы
изменили понятие инцидента
или провели обучение анали-
тиков SOC? Причин такого
явления может быть множество,
и без их разбора использовать
такую метрику нельзя, так как
мы можем сделать неверные
выводы, которые приведут нас
к неверным управленческим
решениям.

УПРАВЛЕНИЕ

Рис. 2. более серьезным для бизнеса и на нижележащих уровнях, Средние значения
инцидентам. Завершается вре- например при оценке эффек-
Рис. 3. менная шкала фактом закрытия тивности работы по конкретно- Кстати, вы заметили, что
инцидента и устранением при- му Рlaybook (руководству по аббревиатуры, описывающие
Большинство SOC, чин, повлекших за собой конкретному типу инцидента). метрики, начинаются с буквы
к сожалению, очень хорошо появление инцидента, попав- Допустим, у вас есть Рlaybook M? Это сокращение от Median,
умеет вычислять число шего в центр мониторинга. для анализа подозрительной то есть не среднее арифмети-
инцидентов событий с тече- активности пользователя и ческое, а медиана, которая
нием времени, но очень Большинство SOC, к сожале- среднее время реагирования на гораздо лучше покажет,
плохо занимается измерени- нию, очень хорошо умеет нее (от момента получения сиг- насколько часто параметры
ем непосредственно времен- вычислять число инцидентов нала в SIEM и до заморажива- выходят за средний показатель.
ных метрик. событий с течением времени, ния учетной записи в AD, поме-
но очень плохо занимается щения узла в карантинный Почему мы говорим о меди-
Число временных метрик, измерением непосредственно VLAN и поиска других узлов анных значениях, а не о сред-
в зависимости от этапа про- временных метрик, а точнее и пользователей, которые могли нем арифметическом? Этот
ведения анализа и рассле- конкретных показателей на быть связаны с пострадавшим) показатель лучше отражает
дования инцидента, может показанной временной шкале. у вас – около 28 мин. Вы смот- временные показатели в боль-
быть разным. Например, Указанные три основные вре- рите статистику по отработан- ших выборках с широким раз-
если свести все этапы рабо- менные метрики (Time-to-Detect, ным инцидентам и видите, что бросом значений. Именно он,
ты с инцидентом в таблицу Time-to-Triage, Time-to-Contain) этот показатель немного скачет а не среднее арифметическое,
и визуализировать их, то мы на самом деле представляют в диапазоне от 19 до 37 мин., которым так часто манипули-
поймем, что измерять мы только верхушку айсберга. но в среднем составляет те же руют. Например, вы встречаете
можем любые временные Число временных метрик, 28 мин. Вроде все в порядке. в каком-нибудь отчете тезис,
интервалы между всеми в зависимости от этапа прове- Но если бы у вас была воз- что средняя сумма инцидента
указанными этапами, дения анализа и расследования можность мониторить все ИБ составляет 11 млн руб.
выявляя слабые места инцидента, может быть разным. отдельные шаги/задачи Рlay- (цифра взята с потолка). Авторы
в наших процессах реагиро- Например, если свести все book, то вы бы увидели, что отчета умалчивают, что они
вания на инциденты. этапы работы с инцидентом вместо традиционных 1–3 мин. имели в виду под средним, но
в таблицу и визуализировать на выявление индикаторов, чаще всего они, недолго думая,
24 • их, то мы поймем, что измерять 1–3 мин. их проверки в TI-плат- просто делят сумму по всем
мы можем любые временные форме, 1–2 мин. на принятие инцидентам на число инциден-
интервалы между всеми ука- решения, 3 мин. на заморажи- тов. Является ли это действи-
занными этапами, выявляя сла- вание учетной записи в AD тельно средним? Увы. В данной
бые места в наших процессах и т.п. ваш аналитик сразу после ситуации средним должна быть
реагирования на инциденты. получения сигнала тревоги медиана – именно она наиболее
помещает пользователя и его точно показывает среднестати-
Такая декомпозиция времен- узел в карантин, а то и вовсе стическую компанию. Давайте
ных параметров будет полезна без проверки передает инци- проиллюстрирую.
дент на следующий уровень,
аналитикам второй линии (L2). Представим, что у нас 10 ком-
И вообще непонятно что анали- паний сообщили об инцидентах
тик делал оставшиеся 9–10 мин. ИБ. У девяти компаний размер
То ли он пошел на кухню налить ущерба составил 1 млн руб.,
себе кофе, то ли он решил а у десятой – 100 млн руб.
посмотреть новости на смарт- Среднее арифметическое будет
фоне, а может он просто отпра- равно 10,9 млн, а вот медиана –
вился проветриться или посмот- одному миллиону. И именно
реть на солнце после несколь- медиана отражает реальную
ких часов "самоизоляции" картину размера ущерба
в душном помещении. Но имею- (медиана может совпадать со
щаяся у вас метрика по кон- средним арифметическим при
кретному инциденту соблюдена. симметричном распределении
Поэтому так важно оценивать сумм ущерба у компаний).
не процесс целиком, а его
отдельные этапы, проводя Другой пример. Мы измеряем
декомпозицию. среднее время обнаружения
инцидента, то есть метрику
Time-To-Detect (TTD). Среднее
арифметическое для данного
графика будет 8,81 часа. Но
значит ли это, что оно действи-
тельно среднее? Нет. Медиана,
то есть типичное значение TTD,
будет в данном примере равно
двум часам. При этом худший
показатель TTD будет равен
42, а лучший – 0,1 часа на
обнаружение.

Но стоит помнить, что для
разных угроз/инцидентов эти
значения будут разные (хотя их
и можно свести к некому еди-
ному показателю). Это по тре-
бованиям ФСБ в ГосСОПКA
данные передаются в течение

УПРАВЛЕНИЕ www.itsec.ru

24 часов с момента обнаруже- Рlaybook, и мне их надо будет Рис. 4. Интересной метрикой
ния (хотя правильнее говорить разработать. Возможно, у меня является число инцидентов,
регистрации) инцидента неза- отсутствуют соответствующие Выигрыш обнаруженных с помощью
висимо от его природы. Но мы правила приоритизации и клас- от автоматизации Threat Intelligence. Отслежи-
с вами прекрасно понимаем, сификации тех или иных инци- вание этого показателя
что время обнаружения спама, дентов по важности, срочности, Еще одна интересная мет- показывает ценность приме-
время обнаружения группиров- серьезности или по каким-то рика – это число часов, сохра- няемых нами фидов,
ки Cobalt и время обнаружения иным параметрам. В любом слу- ненных инструментами авто- а также провайдеров Threat
соединения с командными сер- чае это очень важный параметр матизации. Она показывает Intelligence, которыми мы
верами ботнетов могут сильно для измерения эффективности ценность автоматизации, пользуемся и за работу
различаться. Поэтому времен- SOC. которых мы платим деньги.
ные метрики обычно имеет Рис. 6.
смысл еще разделять по допол- Время локализации а также дает представление • 25
нительным атрибутам, о чем о том, какие инструменты авто-
мы поговорим дальше. Наконец, еще одна важная матизации дают эффект,
временная метрика, связанная а какие не дают. Ну и конечно,
Примеры временных с SOC, – это среднее время, она показывает, насколько
метрик в течение которого SOC локали- данные инструменты эффек-
зует инцидент. Разумеется, он тивно используются разными
Давайте посмотрим на при- отсчитывается с момента своего аналитиками SOC, что позво-
меры временных метрик. Пер- начала. Более длинные значения ляет выстроить для них личные
вая и самая очевидная метри- метрики указывают на более планы обучения и повышения
ка – это медианное время для высокие уровни ущерба, которые квалификации.
обнаружения инцидента, кото- несет наша компания.
рое я уже упоминал выше. Это Читайте продолжение в сле-
наиболее типичный временной В идеале нам надо смотреть дующем номере журнала. l
интервал, в течение которого еще глубже и оценивать не про-
SOC начинает реагировать на сто время реагирования, время Ваше мнение и вопросы
инцидент. Более длительное приоритизации, время локали- присылайте по адресу
значение этой метрики указы-
вает на более высокие уровни Рис. 5. [email protected]
ущерба (дольше не видим –
больше теряем). Отслеживание зации и т.п., а делать это при-
этого показателя поможет нам менительно к разным типам
настроить ИБ-инструментарий, инцидентов, да еще и для раз-
улучшить возможности обнару- ных аналитиков (новичок и
жения инцидентов или увели- бывалый должны иметь разные
чить охват сбора данных. Целью временные показатели: второй
измерения данной метрики должен работать быстрее).
у нас является минимизация
времени на обнаружение. Число инцидентов
Иными словами, чем быстрее
мы обнаруживаем инцидент, Идем дальше. Следующей
тем быстрее, как минимум интересной метрикой является
в теории, мы на него начинаем число инцидентов, обнаружен-
реагировать и тем быстрее его ных с помощью Threat Intelli-
закрываем и, соответственно, gence. Отслеживание этого
тем меньше ущерб, наносимый показателя показывает цен-
компании. ность применяемых нами
фидов, а также провайдеров
Время приоритизации Threat Intelligence, которыми мы
пользуемся и за работу которых
Следующая интересная мет- мы платим деньги. Эта метрика
рика, которая может быть также может показать, насколь-
использована в SOC, – это ко интегрированы подразделе-
медианное время на приорити- ния TI и мониторинга в SOC.
зацию инцидента. Это среднее Может оказаться так, что
время, необходимое центру и фиды у нас качественные,
мониторинга для начала реаги- и провайдеры не зря получают
рования на инциденты с момен- от нас деньги, но полученная от
та получения сигнала тревоги. них информация не использу-
Более длинный показатель ука- ется при обогащении инциден-
зывает на более высокие уров- тов в SIEM, не используется
ни ущерба и неспособность ана- в рамках Threat Hunting, не при-
литиков своевременно вклю- меняется при расследовании.
чаться в работу. Иными слова-
ми, я получаю сигнал тревоги,
но проходит слишком много
времени, прежде чем я пойму,
что означает для моей компа-
нии этот сигнал тревоги. При-
чиной может служить отсут-
ствие у меня соответствующих

ТЕХНОЛОГИИ

Особенности расследования инцидентов,
связанных с удаленным доступом

Ильяс Киреев, ведущий менеджер по продвижению CrossTech Solutions Group

П ервые итоги перехода в режим самоизоляции показывают,
что многие компании оказались неподготовленными к защите
своих конфиденциальных данных и интеллектуальной
собственности в новых условиях. Отдельные документы
и целые базы данных то и дело всплывают у партнеров,
конкурентов, на внешних интернет-ресурсах и тем более
на черном рынке DarkNet/DeepWeb. Расследование таких
инцидентов при дистанционной работе сотрудников заметно
осложняется.

При увеличении количества хакерских Сбор артефактов и доказательной l широкую ролевую модель доступа для
атак возрастает нагрузка на офицеров базы в автоматизированном режиме сотрудников службы информационной без-
информационной безопасности, а при отсут- при срабатывании решающего правила опасности и зональную ответственность;
ствии автоматизированного сбора арте- средства защиты информации позволяет l криминалистически корректный
фактов на личных устройствах конечных уменьшить время реакции команды (значимый) аудит.
пользователей серьезно снижается время в среднем на 40 мин. при выполнении
реакции в случае киберинцидента. Именно рутинных работ сбора дампов опера- Построение единого решения для улуч-
поэтому при удаленном доступе важной тивной памяти, ключей реестров, жест- шения качества расследований в мас-
задачей является использование техноло- ких дисков, файлов и полного образа штабах всего предприятия, кроме про-
гий цифрового паспорта пользователя. операционной системы. чего, улучшит оперативный сбор данных
на удаленном рабочем месте, а фильт-
Паспорт пользователя позволяет с помо- При организации удаленного доступа рация по любым атрибутам в единой
щью цифровых меток проводить контроль, сотрудника компании задача сбора сле- базе данных и извлечение только важной
управление и аудит прав доступа к элек- дов компрометации стоит особенно для исследования информации позволит
тронным документам Microsoft Office (Word, остро, так как требуется осуществлять оперативно реагировать на инцидент
Excel, Visio, PowerPoint). Эта технология удаленное управление, проводить скры- при расследовании.
ориентирована на выполнение норматив- тое расследование, выполнять постана-
ных требований Федерального закона от лиз инцидента в конечной точке, осу- Заключение
29.07.2004 г. № 98-ФЗ "О коммерческой ществлять внутреннее управление
тайне" и является хорошим дополнением и сквозное обнаружение информации. Таким образом, с помощью автомати-
к существующим решениям обеспечения зации и использования централизован-
информационной безопасности в органи- Проблема выбора ных инструментов анализа данных от
зации, а также контроля потоков чувстви- скомпрометированной системы можно
тельной информации. При утечке инфор- При выборе средств автоматизиро- исследовать неизвестную активность во
мации такой подход позволяет персона- ванного сбора данных скомпрометиро- временном хранилище. Это позволит
лизировать работников компании, которые ванной системы следует придерживаться собрать доказательную базу в едином
вносили последние правки в документ, решений, которые используют единую месте, оперативно использовать данные
и идентифицировать нарушителя. базу данных расследований и создают при расследовании компьютерного инци-
четкую картину событий. Технологиче- дента и подготовке доказательной базы
40 минут ский стек решения должен основываться в рамках уголовного дела.
на следующих принципах:
Инцидент-менеджмент подразумевает l доказательная база должна прини- При использовании технологий опре-
выстроенный процесс реагирования по маться судами; деления цифрового паспорта пользова-
регламентированным сценариям (Рlay- l база данных должна обеспечивать теля и компонентов автоматизированного
book), а также процесс расследования скорость и отказоустойчивость; сбора информации для расследования
киберинцидентов и порядок сбора l должна быть широкая поддержка инцидентов в случае утечки информации
информации на скомпрометированной шифрования. у удаленного сотрудника офицер ИБ
системе. Многие компании при рассле- оперативно сможет идентифицировать
довании инцидентов используют разно- Масштабируемость решения должна злоумышленника. Компоненты автома-
родные решения в части ручного сбора обеспечивать глубокое погружение в тизированного сбора информации при
артефактов и следов компрометации данные для расследования нарушений расследовании инцидентов позволят
целевой системы. Отсутствие бесшов- и выполнения нормативных требований своевременно собрать доказательную
ного процесса расследования и единой при территориально распределенной базу в дистанционном режиме. Единая
платформы значительно снижает время структуре офисов, наличии крупных база данных артефактов позволит опре-
ответа группы ИБ-реагирования, и это, пулов и удаленных сотрудников. Это делить хронологию действий злоумыш-
в свою очередь, позволяет злоумыш- позволит быстро и скрыто реагировать ленника, а при интеграции с решениями
ленникам своевременно скрыть следы на инциденты в дистанционном режиме, типа SIEM/SOAR и DLP значительно
компрометации. сохраняя при этом непрерывную цепочку уменьшит время реакции при расследо-
событий. Использование такого подхода вании, когда используется режим уда-
26 • обеспечит: ленного доступа в компании. l
l агентную инфраструктуру сотрудников
удаленного доступа; Ваше мнение и вопросы
l скрытые расследования и сбор инфор- присылайте по адресу
мации со множества удаленных точек;
[email protected]

Москва
25–27 ноября

132020
Реклама

Больше Бизнеса Организатор
Генеральный спонсор
www.all-over-ip

13-й Международный форум

ТЕХНОЛОГИИ

Как обеспечить обмен конфиденциальной
информацией между организациями
для совместной работы без риска
компрометации?

Андрей Рыбин, директор по развитию компании Perimetrix

К оличество обрабатываемых электронных данных конфиденци-
ального характера стремительно увеличивается. По этой при-
чине возрастает потребность рынка в решениях, позволяющих
безопасно передавать по открытым каналам конфиденциаль-
ную информацию между контрагентами, компаниями одной
группы и не допускать ее утечки у получателя, одновременно
с этим минимизируя затраты участников обмена на покупку
специализированного ПО, выделение отдельных рабочих
станций и наращивание серверных мощностей.

Специалистам по 2. Передача данных в закры- Необходимый
том формате, позволяющем технический функционал
информационной без- только просмотр данных (элек-
тронные книги и др.). Отсут- Нужен новый подход, который
опасности хорошо ствует возможность работы позволит вести обмен конфи-
(редактирования и т.д.) с такими денциальной шифрованной
известно, что для пере- данными. Вердикт: нет доступа информацией между организа-
(полноценного). Существует циями с учетом ее ценности
дачи конфиденциальной (защи- также много средств, позво- и даст возможность ее обра-
ляющих записать экран в ботки без риска компромета-
щаемой) информации вовне момент просмотра данных и ции, исключив недостатки, опи-
распорядиться этой записью по санные выше, в том числе без
(вне периметра) по незащищен- своему усмотрению. Вердикт: доступа к внутренней корпора-
также небезопасно. тивной сети отправителя, при
ным каналам связи существует условии наличия подключения
Очевидно, ни тот, ни другой к сети Интернет.
два основных варианта: вариант не обеспечивают адек-
ватный уровень безопасности Для этого нужно реализовать
1. Передача данных в крип- и доступ для обработки конфи- следующие технические реше-
денциальных данных одновре- ния:
токонтейнере, позволяющая менно. l "компактный" агент, легко
загружаемый из сети Интернет;
безопасно передать информа-

цию и обеспечить доступ к ней

определенному лицу (ID рабо-

чей станции, пароль и т.д.). При

получении доступа к данным

(их расшифровке) пользователь

волен поступать с ними по свое-

му усмотрению. Вердикт: небез-

опасно!

Механизм классификации данных и применения ограничительных политик
28 •

ТЕХНОЛОГИИ www.itsec.ru

l механизм прозрачного шифрования Требуется новый подход, который • 29Реклама
(шифрация и дешифрация "на лету" – должен обеспечить возможность
в процессе работы с документами); обмена конфиденциальной
l передача политик безопасности вме- шифрованной информацией между
сте с конфиденциальным документом; организациями с учетом
l предоставление доступа к конфиден- ее ценности и возможностью
циальным данным, ограниченного ее обработки без риска
по времени; компрометации, исключив
l универсальная классификационная недостатки, в том числе без
метка (конфиденциальные данные долж- доступа к внутренней
ны помечаться вне зависимости от фор- корпоративной сети отправителя,
мата, приложений для работы с ними при условии наличия подключения
или файловой системы на рабочей стан- к сети Интернет.
ции);
l автоматическая классификация дан- 1. Все создаваемые конфиденци-
ных в зависимости от информационной альные документы на рабочих местах
системы – источника данных. обогащаются дополнительными атри-
бутами.
По имеющейся у нас информации,
перечисленный функционал отсутствует 2. Обеспечивается возможность
у представленных на рынке решений. использования как частных, так и гло-
бальных политик всех серверов в рамках
Главные выгоды единой системы.
для пользователя
3. На основании дополнительных атри-
Основными технико- бутов, в том числе искусственно при-
экономическими преимуществами сваиваемых в процессе ручной класси-
такого решения для потребителя фикации, осуществляется применение
должны стать: политик безопасности – совокупности
l обеспечение безопасного обмена правил работы с классифицированными
объектами.
конфиденциальными данными
с подрядчиками, партнерами либо 4. Информация о правах конкретного
в рамках группы компаний; пользователя хранится на одном или
l сокращение временных затрат более связанных серверах.
и трудозатрат на классификацию
данных; 5. Любое обращение к конфиденци-
l повышение эффективности альному документу сопровождается
работы с данными в электронном проверкой соответствия прав доступа к
виде (упорядочивание, четкая документу, основываясь на ограниче-
фиксация мест хранения ниях обращающегося, установленных
и используемых приложений, на объекте в соответствии с политика-
контроль доступа); ми, за счет обращения к серверной
l улучшение работы комплексной компоненте.
системы защиты информации;
l определение минимального 6. При проверке соответствия прав
набора политик, которые доступа к документу и политик произво-
обеспечат необходимый уровень дится поиск наличия разрешения по
защищенности данных; всем связанным серверам в рамках еди-
l обеспечение безопасного обмена ной системы.
конфиденциальными данными
с подрядчиками, партнерами либо Адаптация к цифровым условиям
в рамках группы компаний.
Окружающая нас документальная и,
6 принципов целевого продукта можно сказать, общая информацион-
ная составляющая имеет в подавляю-
Защищенный периметр для хранения щем большинстве цифровой вид, а зна-
конфиденциальной информации при чит средства владения, хранения,
использовании целевого продукта может трансформации и передачи данных
включать в себя публичное или частное нужно адаптировать к новым цифро-
облако, файловый сервер, персональный вым условиям. Можно с большой уве-
компьютер или рабочую станцию сотруд- ренностью предположить, что для опе-
ника и базу данных. рирования цифровой информацией
необходима возможность классифици-
При прохождении конфиденциального ровать ее по самым широким и много-
документа через серверный компонент численным признакам и поддержать
получателя данных должен происходить эту классификацию программным про-
анализ атрибутов документов, их доопре- дуктом, который обеспечит соблюдение
деление и анализ на предмет соответ- классификационных правил взаимо-
ствия политикам безопасности, доступ- действия с информацией и гарантирует
ным получателю, и присвоение меток. ее конфиденциальность. l

Основные принципы, заложенные Ваше мнение и вопросы
в целевой продукт, можно определить присылайте по адресу
следующим образом:
[email protected]

ТЕХНОЛОГИИ

Автоматизация пентеста:
на шаг впереди хакера

Валерий Филин, технический директор CITUM
Павел Стеблянко, генеральный директор CITUM
Виктор Сердюк, генеральный директор АО “ДиалогНаука"

Э ффективная защита от угроз информационной безопасности
возможна только при комплексном подходе. Одним из его ключевых
элементов является своевременное обнаружение и устранение
уязвимостей. Традиционно решение этих задач осуществляется
двумя способами: с использованием специализированных средств
для сканирования уязвимостей (так называемых сканеров
безопасности) или посредством тестирования на проникновение
(пентеста) с привлечением высококвалифицированных специалистов,
которые могут взглянуть на систему защиты организации “глазами
хакеров". Однако, помимо очевидных преимуществ, традиционные
методы имеют и ряд ограничений.

Сканеры безопасности, например, и дорого стоят. При этом они дают вы отталкиваетесь от статистической
обычно генерируют отчеты, насчиты- заказчику "текущий срез", актуальный шкалы CVSS (Common Vulnerability Scoring
вающие сотни страниц с информацией только в один момент времени. System2). Эта универсальная шкала по
о выявленных уязвимостях, среди кото- умолчанию не учитывает контекст вашей
рых практически невозможно выделить Для устранения ограничений тради- сети, приложений и массивов данных,
те, которые действительно представляют ционных методов анализа защищенно- поэтому оценка степени критичности ста-
наибольшую опасность для организации. сти на рынке информационной безопас- тичных уязвимостей на основе CVSS, как
Услуги по тестированию на проникнове- ности появился новый класс решений правило, не является полностью реле-
ние обычно занимают много времени для автоматизации тестирования на про- вантной для конкретного окружения
никновение. В этой статье мы детально и носит теоретический характер.
1 https://nvd.nist.gov/ раскроем описанные проблемы и рас-
2 https://www.first.org/cvss/ скажем о платформе автоматизации Нет сомнений, что обнаружение уязви-
пентеста – Pcysys PenTera. мостей и установка патчей – жизненно
необходимые задачи для сокращения
Установка патчей – поверхности атаки. Но даже после уста-
не панацея от угроз новки всех обновлений вы все еще
можете быть взломаны.
Вслед за тем как компании внедряют
новые информационные системы, коли- Неочевидные точки входа
чество потенциальных уязвимостей,
которым они подвержены, растет с экс- Существует ряд значимых аспектов,
поненциальной скоростью. Беглый которые остаются без внимания систем
взгляд на базу данных уязвимостей управления уязвимостями. К ним отно-
National Vulnerability Database1 показы- сятся так называемые динамические
вает, что в последние годы произошел уязвимости, связанные с небезопасным
резкий всплеск их количества, особенно пользовательским поведением, небез-
в приложениях с открытым исходным опасной конфигурацией инфраструкту-
кодом. Публично доступные эксплойты ры, ошибками в настройках внедренных
для этих уязвимостей – лишь наиболее средств защиты, нестойкими паролями
простые из инструментов хакера. и недостаточным контролем за приви-
легированным доступом.
Приоритизация и закрытие уязвимостей
для крупной компании может оказаться Как правило, хакерская атака начина-
титанически сложной задачей. В органи- ется через эксплуатацию динамических
зациях, где серьезно относятся к вопросам уязвимостей. Точкой входа в сеть может
ИБ, обычно есть выделенная команда, служить рабочая станция, куда зло-
специализирующаяся на выявлении и умышленник успешно проникает, напри-
устранении уязвимостей, однако высоки мер, с использованием техник социаль-
шансы того, что сотрудники не успеют ной инженерии. Попав внутрь сети, ата-
охватить их все. Установка патчей, как кующий изучает и оценивает ее, выпол-
правило, приоритизирована: большинство няет горизонтальное продвижение,
организаций фокусируют внимание на используя доступные средства для
устранении уязвимостей, имеющих наи- достижения конечной цели своей атаки.
высший теоретический уровень критич-
ности. Даже если вы успеваете ликвиди- Для борьбы с наиболее сложными
ровать уязвимости с уровнем опасности целенаправленными атаками целесооб-
"критичная" и "высокая", скорее всего разно прибегать к методу оценки эффек-
тивности применяемых средств защиты

30 •

ТЕХНОЛОГИИ www.itsec.ru

с позиции злоумышленника. Во время 5 преимуществ автоматизации ли ваша ИТ-инфраструктура, и выявить
атаки необязательно использовать кри- пентеста проблемы разной степени критичности,
тические уязвимости, выявляемые ска- которые необходимо устранить для пред-
нерами. Терпеливо изучив сеть и средства Автоматизация пентестов дает службе отвращения потенциального взлома сети.
защиты, злоумышленники могут прибег- ИБ множество уникальных преимуществ:
нуть к инструментам, специально разра- Эта система имеет целый ряд плюсов:
ботанным для эксплуатации уязвимостей 1. Позволяет выполнять тестирование 1. Pcysys PenTera может непрерывно
со средней или даже низкой критичностью на проникновение с беспрецедентной выполнять оценку защищенности сети.
по шкале CVSS. скоростью, демонстрируя общую картину Вместо ежеквартального или ежегодного
реальных рисков в течение нескольких пентеста вы можете оценивать уровень
Важно отметить, что возможности ата- часов вместо дней или даже недель. защищенности постоянно, и все это без
кующих довольно обширны: наиболее дополнительных инвестиций или суще-
известная отраслевая база знаний по 2. Благодаря высокой скорости работы ственных затрат ресурсов. Вы можете
техникам атак MITRE ATT&CK Matrix3 тестирование защищенности можно выпол- запустить задачу проверки и заняться
описывает сотни различных приемов, нять в полном масштабе инфраструктуры. повседневными делами, а по заверше-
сгруппированные в 12 категорий. нии тестирования получить от системы
3. Вы можете проверять свою сеть отчет с рекомендациями по устранению
Атакующие постоянно совершенствуют как угодно часто – ежемесячно, ежене- слабых мест.
и развивают свои навыки и пополняют дельно или даже ежедневно, получая 2. PenTera показывает модель реаль-
арсенал используемых средств. Как только непрерывную оценку, недостижимую ного хакера. Это не симуляция, а реаль-
становится известно о новых эффектив- в случае ручного пентеста. ный взлом организации, выполняемый
ных техниках реализации атак, они мгно- безопасным способом с применением
венно получают распространение через 4. Непрерывный анализ защищенности этических вредоносных инъекций
"теневой Интернет" (Dark Web4) и специа- позволяет выявлять редкие или "пла- и хакерских приемов. Система покажет
лизированные хакерские сообщества. вающие" уязвимости, равно как векторы объективную оценку защищенности сети
атак, доступные в течение непродолжи- организации в условиях, максимально
Зачем автоматизировать пентест? тельного времени. близких к реальному взлому, и проде-
монстрирует пошаговые векторы атак
Попытка защитить себя без понимания 5. Автоматизация позволяет проте- с подробным описанием каждого этапа.
точки зрения злоумышленника – неверо- стировать сценарий скрытного терпели- При этом эксплуатация выполняется
ятно сложная задача. Традиционный под- вого злоумышленника, который неделя- безопасным образом, не приводя к пре-
ход к тестированию на проникновение ми находится в сети, никак себя не рыванию критичных сервисов и бизнес-
дает вам статичный снимок того, как ата- обнаруживает и ждет удачного момента процессов.
кующий может взломать сеть в конкретный для взлома. Такой сценарий практически 3. PenTera помогает приоритизировать
момент времени. В большинстве случаев невозможно воспроизвести по запросу устранение уязвимостей и слабых мест
пентест – это недостаточно регулярная в рамках обычного пентеста, выполняе- в сети организации, выводя процесс на
процедура, выполняемая один или два мого приглашенным подрядчиком. новый, экономически эффективный уро-
раза в год. Современные сети меняются вень. Сканеры анализа защищенности
динамично, из-за чего результаты пентеста PCYSYS PenTera – новый подход показывают десятки тысяч уязвимостей
устаревают за считанные дни. к кибербезопасности (есть даже сети с более чем миллионом
уязвимостей), что сильно усложняет про-
Ответить на этот вызов позволяет Большинство служб информационной цесс их устранения. PenTera фокусирует
машинный пентест, который обходит безопасности сталкиваются с пробле- процесс устранения в первую очередь
названные ограничения и дает вам воз- мами наличия бюджета и квалифициро- на фактически подтвержденных и опас-
можность круглосуточного наблюдения за ванных кадров. Именно поэтому для ных векторах атак.
состоянием защиты, предоставляя выводы оптимизации затрат и повышения
и рекомендации, релевантные именно эффективности работы автоматизируют- Эффективное решение
вашим информационным системам. ся процессы кибербезопасности, вклю- для любой отрасли
чая оценку рисков, установку обновле-
Преобразование пентеста в доступный ний, обнаружение и предотвращение Технология Pcysys PenTera не привязана
ежедневный метод проверки позволяет вторжений и др. В сфере автоматизации к какой-либо конкретной отрасли. Сеть –
защищающейся стороне первой узна- процессов тестирования на проникно- везде сеть, будь то в финансовой, про-
вать об эксплуатируемых уязвимостях вение лидирует компания Pcysys. изводственной или другой организации.
и исправлять их до того, как злоумыш- В числе заказчиков Pcysys есть банки,
ленник сможет найти и использовать их Автоматизированный пентест дает глу- фонды, инвестиционные и страховые ком-
в атаке. Кроме того, автоматизирован- бокое понимание контекста слабых мест пании, телеком-операторы, ИТ-компании,
ный пентест дает возможность сфоку- и уязвимостей в сети, а также позволяет юридические организации, ритейл, обра-
сироваться на исправлении именно тех оптимизировать процесс установки зовательные учреждения, организации из
уязвимостей, которые в реальной жизни патчей. Вместо применения традицион- сферы здравоохранения и др.
могут эксплуатировать хакеры. ного подхода к устранению уязвимостей
на основе шкалы CVSS вы можете начать Pcysys PenTera позволяет существенно
Злоумышленники уже давно автома- с исправления того, что действительно повысить уровень защищенности ком-
тизируют свою деятельность и приме- несет максимальный риск для вашей пании за счет обеспечения непрерывной
няют для атак специализированные ком- организации. После устранения наиболее оценки текущего уровня безопасности
плексные решения. Команды безопас- критичных проблем можно немедленно с позиции реального злоумышленника.
ности в организациях продолжают запустить повторную проверку сценария Система дополняет существующие
использовать классический набор атаки, чтобы убедиться в эффективности средства защиты, такие как SIEM или
отдельных инструментов для ручного принятых мер. Таким образом, вы всегда решения по управлению привилегиями,
тестирования защиты, который зачастую остаетесь на шаг впереди атакующего. и успешно интегрируется с ними. l
отстает от соответствующего инстру-
ментария хакеров. Таким образом, авто- Анализ защищенности Ваше мнение и вопросы
матизация пентеста дает возможность со всех сторон присылайте по адресу
существенно упростить и повысить
эффективность предотвращения атак. Pcysys PenTera – это программная [email protected]
платформа, предназначенная для авто-
матизации пентеста. Простым нажатием • 31
кнопки вы сможете проверить, защищена

3 https://attack.mitre.org/matrices/enterprise/
4 https://en.wikipedia.org/wiki/Dark_web

ТЕХНОЛОГИИ

Повышение осведомленности
сотрудников: We Can Do It

Александр Дворянский, директор по маркетингу компании “Инфосекьюрити"
(ГК “Софтлайн")

П овышение осведомленности сотрудников в сфере ИБ – один
из вечных трендов информационной безопасности.
И, к сожалению, один из тех, которым зачастую
пренебрегают, согласно ежегодно публикуемой статистике.
Надежды на “русский авось" или убеждение в том,
что защитить ценные данные получится с помощью одних
только технических средств и систем, способны привести
к серьезным последствиям. Финансовые потери, операционные
сбои, утрата партнеров и клиентов и, как следствие,
ухудшение делового имиджа случаются гораздо чаще, чем
это можно себе представить. Если я вас достаточно напугал,
значит мы можем переходить к основной части статьи.

Почти во всех инциден- Скажу об отрасли, дать правила информационной обучения мероприятия прово-
тах информационной без- в которой я долгое время безопасности на рефлекторном дятся для любого количества
опасности присутствует работаю, чтобы вы поняли, уровне, и вам уже не придется сотрудников, в разных регионах
человеческий фактор. почему мне интересна эта заботиться о том, что кто-то из страны – без затрат на выезд
Конечно, причиной бывают тема. Компания "Инфосекью- них не заблокирует экран ком- тренеров и решение организа-
и неосторожность, и злой рити" оказывает услуги в пьютера, потеряет токен или ционных вопросов.
умысел, и действия мошен- сфере информационной без- забудет квартальный отчет
ников. Но в большинстве опасности, системной интег- в лотке принтера. Есть и такое, неочевидное
случаев дело в том, что рации и консалтинга. Нам на первый взгляд, преимуще-
сотрудники компаний попро- важно показать, что мы можем Очное vs дистанционное ство: все давно знают, чего
сту не знают – а потому не защитить не только данные, можно ожидать от очного
соблюдают – правила ИБ. которые нам доверяют клиен- Не секрет, что большинство обучения. Грубо говоря, оно не
ты, но и свои собственные российских компаний предпочи- способно удивить сотрудника,
32 • активы. И здесь повышение тает проводить обучение своих по-настоящему вовлечь его
осведомленности играет весь- сотрудников – если вообще его в процесс повышения осведом-
ма и весьма значительную проводит– по старинке, в очном ленности. В то же время дис-
роль. формате. Чаще всего это ввод- танционное обучение каждый
ные инструктажи по информа- год демонстрирует появление
Зачем это нужно ционной безопасности для новых методов и технологий.
новичков. Реже инструктажи Онлайн-тренажеры, симулято-
В любой уважающей себя дополняются почтовыми рас- ры бизнес-процессов, VR-
компании существуют внут- сылками с выдержками из уже кейсы, многопользовательские
ренние регламенты, политики упомянутых регламентов и игры – все эти форматы дока-
и методики, посвященные пра- политик конфиденциальной зывают, что своего "потолка"
вилам хранения и обработки информации. e-learning достигнет еще очень
конфиденциальной информа- нескоро.
ции. Увы, само по себе нали- Та же статистика показывает,
чие этих документов не дает что такой подход больше не С чего начать
ровным счетом ничего. Реаль- работает. Во всем мире очное
ную защиту обеспечивают обучение достаточно быстро Конечно, с целевой аудито-
сотрудники, которые точно уступает место обучению дис- рии. Проще говоря, разделите
следуют прописанным в доку- танционному. И на это есть ряд ваших сотрудников на группы
ментах требованиям. Но где причин. Самая приятная – сни- и определите темы, актуальные
найти таких идеальных защит- жение затрат: электронные для каждой группы. Топ-менед-
ников? материалы разрабатываются и жерам вряд ли будет интересно
покупаются один раз, а исполь- изучать актуальные уязвимости
Хитрость в том, что их нужно зуются столько, сколько необхо- программного обеспечения,
не искать, а, скажем так, выра- димо. Еще одна причина а для разработчиков это один
щивать. Комплекс мероприятий выбрать e-learning – удобство: из главных аспектов ИБ.
и материалов, направленных на интерактивные курсы, видеоро-
повышение осведомленности лики и браузерные игры можно Когда темы определены,
в сфере ИБ, позволяет сфор- просматривать на разных видах подумайте о форматах обучаю-
мировать в компании культуру устройств – компьютере, план- щих материалов – их тоже
работы с ценными данными. шете или смартфоне – в любое нужно персонализировать.
Если все подобрано верно, время. Немаловажно и то, что Например, у сотрудников front-
сотрудники начинают соблю- при выборе дистанционного офиса не так много свободного
времени, а иногда и нет личного

ТЕХНОЛОГИИ www.itsec.ru

рабочего компьютера. Им подойдут лять сотрудника смотреть тягомотную, Реклама • 33
короткие анимационные видеоролики пусть и крайне полезную, 7-минутную
и яркие плакаты, иллюстрирующие глав- проповедь. Но и дробить обучение до
ные правила информационной безопас- бесконечности не стоит – так легко
ности. Их можно размещать и демон- потерять логику повествования.
стрировать и в рабочих помещениях,
и в комнатах отдыха. Сотрудники back- Проверка знаний
офиса могут уделить обучению больше
внимания, поэтому им лучше адресовать В качестве проверки знаний чаще
электронные курсы с включенной про- всего выступают тестирования, упраж-
веркой знаний и периодические поч- нения и кейсы в рамках электронных
товые рассылки. курсов, а также тренажеры и бизнес-
симуляторы, направленные на отработку
Еще одна хорошая практика – перед четкой последовательности действий.
тем, как проводить обучение по инфор- В любом случае они эффективны глав-
мационной безопасности, проверить, что ным образом тогда, когда вы можете
ваши сотрудники уже знают. Самый отслеживать, насколько успешно сотруд-
простой способ это сделать – провести ники компании их проходят. А это зна-
тестирование, даже небольшое, и разо- чит, что вам очень желательно обзаве-
слать письма, имитирующие настоящие стись системой дистанционного обуче-
вредоносные послания. Так вы поймете, ния (СДО) и загружать материалы уже
на каких темах нужно сделать основной в нее. Рынок предлагает достаточно
акцент. вариантов, подобрать нужный не соста-
вит труда.
Тренды
дистанционного обучения Ранее я упоминал о рассылках, ими-
тирующих вредоносные письма. Учебные
Собственно, об одном из трендов фишинговые рассылки хорошо исполь-
я уже упомянул – это персонализация, зовать и для периодической проверки
разработка материалов с учетом знаний. Например, если ваш сотрудник
потребностей целевой аудитории. "поддался на провокацию" и открыл
Если сотрудник понимает, что обуче- такое письмо, его можно повторно напра-
ние создано именно для него, процесс вить на изучение курса, посвященного
становится более приятным и менее социальной инженерии. В некоторые
стрессовым, а значит приносит лучшие СДО входит учебный фишинговый
результаты. Кстати, персонализации модуль, с их помощью вы совместите
можно достигнуть не только за счет приятное с полезным.
подбора разных форматов, но и с
помощью вариативности внутри одно- Печать в помощь
го формата, например, создавая
несколько траекторий прохождения Электронные обучающие материалы
электронного курса или давая воз- принято дополнять печатными материа-
можность повторить пройденный мате- лами – памятками, буклетами, плаката-
риал. ми, стикерами. Они отлично справляются
с задачей сделать обучение разнооб-
Следующий тренд e-learning – разным и запоминающимся. Не бойтесь
геймификация. Помимо собственно привлекать к их оформлению профес-
игр, геймификация также активно сиональных дизайнеров и иллюстрато-
используется в электронных курсах. ров, экономить на внешнем виде в дан-
Она предполагает добавление игровых ном случае не стоит.
элементов – персонажей, анимацию,
увлекательный сюжет, постепенное Кстати, именно памятки и буклеты
усложнение заданий. Геймификация – имеет смысл "внедрять" в обучающий
это вообще интересная история, потому процесс первыми. Если разработанные
что она может быть полностью элек- для них концепции и персонажи понра-
тронной, а может "перетекать" в реаль- вятся и запомнятся сотрудникам, их
ную жизнь. Допустим, за успешное вполне можно будет применять и в дру-
прохождение курсов по информацион- гих материалах.
ной безопасности сотрудника можно
наградить одним дополнительным днем Подведем итоги
отпуска. Такие вещи, конечно, согла-
совываются с HR. Заставить человека учить то, что ему
неинтересно, и соблюдать то, что ему
Наконец, еще один тренд – микро- непонятно, невозможно. Создавая для
обучение. Оно предполагает подачу тео- сотрудников комплексные программы
ретического материала небольшими бло- повышения осведомленности, излагая
ками и закрепление каждого блока прак- материал простым и доступным языком
тическими заданиями. Например, и облекая его в игровую форму, вы
посмотрел пять слайдов курса – ответь делаете вклад в безопасность – вашу,
на тестовый вопрос или выполни простое вашей компании и ваших клиентов.
упражнение. Если речь идет о видеоро- И если все сделано "по науке", эти вло-
ликах, то они должны быть длиной не жения непременно окупятся. l
более двух минут. Лучше сделать серию
коротких роликов (их можно объединить Ваше мнение и вопросы
одним забавным сюжетом), чем застав- присылайте по адресу

[email protected]

ТЕХНОЛОГИИ

Средства обеспечения контролируемой
вычислительной среды удаленного пользователя

Светлана Конявская, заместитель генерального директора ЗАО “ОКБ САПР”, к.ф.н.

Т е, кто не считает, что хоть какая-то защита лучше, чем
никакой, а понимает всю опасность безосновательной
самоуспокоенности, отдает себе отчет в том, какие меры на
самом деле должны приниматься при переводе сотрудников
на удаленную работу.

Пример серьезного терминального доступа (по воз- эти действия представляются
можности); мониторинг и конт- мало реальными.
отношения к защите роль действий пользователей
удаленного мобильного досту- В то же время для ряда опе-
информации, как обыч- па. раций работа в доверенной
вычислительной среде является
но, подал Банк России, Организационные и техниче- абсолютно необходимой. Апел-
ские меры, необходимые для лируя к уже упомянутым финан-
сформулировав в реализации указанных реко- совым организациям, это
мендаций при осуществлении выполнение криптографических
информационном пись- удаленного мобильного досту- операций, которые допускается
па, содержатся в национальном выполнять только с использо-
ме1 рекомендации по стандарте Российской Феде- ванием СКЗИ не ниже КС22.
рации ГОСТ Р 57580.1–2017
организации мобильного “Безопасность финансовых В таких условиях наиболее
(банковских) операций. Защита приемлемым способом органи-
удаленного доступа: информации финансовых орга- зации удаленной работы
низаций. Базовый состав орга- сотрудников является выдача
"...применение технологий вир- низационных и технических им устройств, с которых они
мер”, утвержденном приказом будут получать удаленный
туальных частных сетей; при- Федерального агентства по тех- доступ к информационной
ническому регулированию системе.
менение многофакторной и метрологии от 08.08.2017
№ 822-ст.". Если доступ должен быть не
аутентификации; применение только удаленным, но и мобиль-
Две последние рекомендации – ным, то это, очевидно, должен
Характеристики планшета "ПКЗ 2020" как раз о том, чтобы минимизи- быть планшет.
ровать потенциальное негатив-
Форм-фактор: планшет-трансформер (планшет + ное влияние персональной Единственный планшет с
клавиатура) вычислительной среды пользо- установленным СДЗ уровня
Размер экрана: 11,6 дюйма вателя, которая, во-первых, не платы расширения, сертифици-
Разрешение экрана: 1920x1080 пкс защищена должным образом, рованным ФСБ России как
Автоповорот: да во-вторых, предоставляет ему АПМДЗ класса 1Б, – это план-
Аккумулятор: 9600 мАч, Li-Ion, что обеспечивает слишком много возможностей. шет разработки ОКБ САПР
работу без подзарядки в течение всего дня "ПКЗ 2020"3. В его специально
Процессор: Intel® Celeron® N3450 Мобильный доступ: предусмотренный для этого
Видеоускоритель: Intel® HD Graphics 500 планшет "ПКЗ 2020" слот (а не на место какого-либо
ОЗУ: 8 Гбайт другого устройства) установлен
Встроенная память: 64 Гбайт Несмотря на то что хорошо "Аккорд-АМДЗ" (сертификат
Сенсорный экран: да, 10 точек понятно, как оборудовать лич- СФ/527-3214 от 10.10.2017 г.).
Основная камера: 8 Мпкс ные компьютеры сотрудников Это позволяет использовать на
Дополнительная камера: 6 Мпкс так, чтобы их можно было без- планшете любое СКЗИ класса
Динамики: встроенные, стерео болезненно включить в корпо- КС2 и КС3, в формуляре кото-
Микрофон: встроенный ративную ИT-инфраструктуру, рого в качестве АПМДЗ указан
Встроенный модем: 3G + LTE (передача данных) "Аккорд-АМДЗ" (это большин-
Wi-Fi: 802.11 a/b/g/n/ac
Bluetooth: 4.0
Разъем карты памяти: microSD, не более 64 Гбайт
USB: 2 x USB3.0
Разъем гарнитуры: 3,5 мм
ОС: Windows x64 8.1 и выше, Linux x86-64 с версией
ядра выше 4.0

1 Письмо Банка России от 20.03.2020 г. № ИН-014-56/17 “Информационное письмо о мерах по обеспечению киберустойчивости
и информационной безопасности в условиях распространения новой коронавирусной инфекции (COVID-19)". https://www.cbr.ru/
StaticHtml/File/59420/20200320_in-014-56_17.pdf?utm_source=sendpulse&utm_medium=email&utm_campaign=aktualnie-ugrozi-pri-
organizat&spush=ZHVnYXJvdkBva2JzYXByLnJ1

2 Положение Банка России от 17.04.2019 г. № 683-П “Об установлении обязательных для кредитных организаций требований
к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению
переводов денежных средств без согласия клиента".

ГОСТ Р 57580.1–2017 “Безопасность финансовых (банковских) операций. Защита информации финансовых организаций.
Базовый состав организационных и технических мер”.

Методические рекомендации Банка России от 14 февраля 2019 г. № 4-МР по нейтрализации банками угроз безопасности,
актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации
о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации.
https://www.garant.ru/products/ipo/prime/doc/72075160/

3 Планшет СКЗИ Ready “ПКЗ 2020". https://www.okbsapr.ru/products/accord/planshetSKZIreadyPKZ2020/

34 •

ТЕХНОЛОГИИ www.itsec.ru

ство российских СКЗИ). План- сотрудник не сможет реализо- от посторонних сетевых соеди-
шет может приобретаться с вать попытку расширить свои нений, открытый трафик отсут-
предустановленным СКЗИ, или возможности путем установки ствует, а после завершения
оно может устанавливаться какого-то дополнительного ПО, работы в терминальной сессии
самостоятельно. пользуясь тем, что средство (или в браузере и т.д.) сеанс
вычислительной техники связи завершается, не давая
Необходимо подчеркнуть, что находится в его распоряжении. пользователю делать что-то
уникальность "ПКЗ 2020" опре- В состав m-TrusT входит рези- лишнее.
деляется не только тем, что это дентный компонент безопасно-
единственное уже интегриро- сти, в котором реализовано СДЗ, После загрузки ОС с "МАРШ!"
ванное решение, под ключ. физический ДСЧ, установлено на произвольный домашний
Установить СДЗ уровня платы сертифицированное средство компьютер сотрудника и старта
расширения в распространен- разграничения доступа. Все это браузера устанавливается
ные сегодня планшеты без создает предпосылки для доверенный сеанс связи с VPN-
ущерба для функциональности использования на нем СКЗИ шлюзом центральной ИС,
планшета невозможно в прин- классов КС2 и КС3. Так, недавно закрытые ключи и сертификаты
ципе. Даже если в них есть для с положительным результатом для которого хранятся в защи-
этого свободный слот m.2 завершены исследования соот- щенной памяти "МАРШ!".
(обычно единственный m.2 ветствия СКЗИ Dcrypt 1.0 v.2 Доступ к ним возможен только
занят Wi-Fi-модулем), то он классу КС2 (вариант исполне- из ОС "МАРШ!", поэтому под-
имеет выход не на PCI, а на ния 29) и КС3 (вариант испол- ключиться к ИС со своего ком-
SSD, то есть для установки нения 30) при исполнении на пьютера, загруженного не
АПМДЗ он не годится. специализированном компью- с "МАРШ!", а с жесткого диска,
тере с аппаратной защитой дан- и использовать ключи VPN, хра-
Если даже есть свободный ных m-TrusT. нящиеся на "МАРШ!", пользо-
слот подходящего вида (с ключа- ватель не сможет.
ми А-Е), то особенности питания Для работы с АРМ на базе
планшетов делают невозмож- m-TrusT в режиме терминаль- В случае если работать плани-
ным выполнение функции сто- ного доступа надо указать при руется в режиме веб-доступа,
рожевого таймера – разрыва заказе, что в ОС микрокомпью- через браузер, МЭ из состава
питания – так, как они реализо- тера должно быть установлено ПО в загружаемой ОС позволит
ваны во всех остальных АПМДЗ, ПО терминального клиента. задать единственно возможный
кроме "Аккорда". В "Аккорде- адрес соединения, чтобы поль-
АМДЗ" сторожевой таймер сде- После завершения работы зователь по ошибке не зашел в
лан с учетом особенностей при- можно перекоммутировать рамках доверенного сеанса связи
менения на планшетах. периферию обратно к домаш- на какой-то небезопасный ресурс.
нему ПК.
Поэтому предложения от Плюс решения еще и в том,
поставщиков "защищенных Работа с домашнего ПК: что пользователю не придется
планшетов" нуждаются в тща- доверенный сеанс связи вообще никак менять привычный
тельном осмыслении: в каком "МАРШ!" уклад жизни: отключил "МАРШ!",
отношении этот планшет защи- перезагрузился и используешь
щенный, в том ли, которое тре- Наконец, самый бюджетный домашний компьютер по его пря-
буется. вариант для работы сотрудника мому назначению.
со своего домашнего компью-
Стационарный доступ: тера, но исключающий влияние Удобно, безопасно,
АРМ на базе m-TrusT этого компьютера на ИС, к кото- без стресса
рой сотрудник получает уда-
Однако не всегда удаленная ленный доступ, – это средство Перечисленные в этой статье
работа должна быть непремен- обеспечения доверенного сеан- средства обеспечения удален-
но мобильной. В сложившихся са связи (СОДС) "МАРШ!"5. ной работы в ИС объединяют
условиях она достаточно часто три ключевых момента:
может быть стационарной, но При начале доверенного
из дома. сеанса связи пользователь 1) они делают удаленную
загружается с "МАРШ!", обес- работу сотрудника безопасной
В этом случае возможно при- печивая тем самым доверенную для ИС;
менение менее дорогих реше- среду. Далее стартует терми-
ний, чем индивидуальные план- нальный клиент (или виртуаль- 2) они не требуют внесения
шеты для каждого сотрудника. ный клиент, или браузер – смот- существенных изменений в
ря как именно организована саму ИС;
Как правило, у сотрудников удаленная работа в ИС) и начи-
дома есть какой-никакой ком- нается сессия. 3) их использование неслож-
пьютер и периферия к нему. К этой но и не накладывает ограниче-
периферии можно подключить Загрузка производится из ния на использование сотруд-
защищенный АРМ на базе спе- защищенной от записи памяти, ником его личных устройств,
циализированного микроком- жесткий диск компьютера не что предельно важно.
пьютера с аппаратной защитой используется. Конфигурация
данных m-TrusT4. Он обладает загруженной операционной В стрессовой ситуации
"вирусным иммунитетом" благо- системы максимально ограничи- необходимо стараться снижать
даря Новой гарвардской архи- вает свободу пользователя: ему уровень переживаний, а не уси-
тектуре, а состав его ПО фор- недоступны органы управления ливать его дополнительными
мируется при заказе и пользо- операционной системы, рабочая усложнениями жизни. И так хва-
вателем самостоятельно быть среда полностью изолирована тает. l
изменен не может, то есть
NM
4 M-TrusT. https://www.okbsapr.ru/products/newharvard/m-trust/
5 СОДС. https://www.okbsapr.ru/products/storage/compute/sods/ АДРЕСА И ТЕЛЕФОНЫ

ОКБ САПР

см. стр. 48

• 35

ТЕХНОЛОГИИ

Основные опасности устройств
в составе умного дома

С чем сталкиваются потребители?

Джим Филлипофф (Jim Phillipoff), руководитель отдела развития бизнеса,
средств массовой информации и развлечений компании Irdeto

В се многочисленные и разнообразные возможности, связанные
с подключаемыми устройствами и Интернетом вещей (IoT),
до конца еще не изучены. По сегодняшним общемировым
оценкам, в среднем на один дом приходятся девять
подключенных устройств, а в некоторых странах это
количество достигает 23. Потребители все больше зависят от
качественного подключения к глобальной сети. Бизнес тоже
получает массу преимуществ, связанных с IoT. С другой
стороны, быстрое распространение поддерживающих IoT-
устройств создает для хакеров небывалые возможности для
пиратских действий и вторжения в домашние сети. Если,
конечно, защита этих устройств недостаточно надежна.

По результатам исследования, ство подключенного дома зователи ничего не делают, это
проведенного Sonicwall1 в 2019 г., (ноутбук или планшет), поэтому не значит, что они не знают об
количество кибератак на устрой- риск злонамеренного внедрения угрозах.
ства IoT по сравнению с 2017– в домашнюю сеть растет экспо-
2018 гг. повысилось на 215%. ненциально. Более того, когда В 2018 г. отделение Market
вы работаете из дома, атака на Intelligence компании Microsoft
Сегодня опасность еще более дом может развиться в атаку на опубликовало обзор, в котором
возрастает, поскольку неожидан- корпоративную сеть вашего особое внимание уделялось
но резко увеличилось количество работодателя. При этом домохо- опасениям потребителей отно-
людей, практически постоянно зяйства неспособны сами обес- сительно их цифровых помощ-
работающих из дома. Многие из печить свою безопасность. Про- ников, и основной проблемой
них, когда работали из офиса, веденное Broadband Genie иссле- было признано отсутствие
были защищены корпоративны- дование показало, что 86% должной защищенности персо-
ми межсетевыми экранами, одна- потребителей никогда не обнов- нальной информации и данных.
ко этих экранов практически нет ляли встроенное ПО своего Цифровые помощники, как
в домах. Ваш "Домашний офис" – маршрутизатора. Но если поль- и другие подключенные устрой-
это всего лишь еще одно устрой- ства в доме, следует оценивать
с точки зрения не только функ-
циональности и цены, но также
и безопасности.

Скорее всего, хакеры будут
уделять цифровым помощникам
больше "внимания", чем любым
другим устройствам, поскольку
помощники могут играть роль
центрального элемента, конт-
ролирующего все остальные
элементы домашней сети. Это
же применимо и к маршрутиза-
торам, выступающим в качестве
ее шлюзов.

Кто несет ответственность
за безопасность IoT-
устройств и всего умного
дома – поставщик услуг,
производитель устройств
или потребитель?

Несомненно, потребители
и поставщики услуг не могут

1 https://irdeto.sharepoint.com/:b:/s/d_mi/EdiRtYpvXG5FosIu7fQSmdIBvyXgX8zn86ehQ_zHbkCfDA

36 •

ТЕХНОЛОГИИ www.itsec.ru

отдать обеспечение безопасной и надеж- Связанное с рассматриваемыми Реклама • 37
ной работы своих сетей на откуп про- вопросами законодательство находится
изводителям устройств IoT. Если можно на ранней стадии развития, при этом
говорить о какой-то ответственности важным шагом следует считать новую
поставщика услуг, когда речь идет систему маркирования устройств IoT,
о маршрутизаторе, то оператор связи обсуждение которой включено в план
зачастую неспособен заглянуть за шлюз, работы правительства Великобритании.
чтобы проверить работу устройств Поставщики услуг должны рассматри-
и получить сведения о них с целью вать проблемы, возникающие при рево-
решения возникающих проблем. люционном развитии умного дома, как
возможности роста, использование кото-
Но не все так плохо. Поскольку на рых позволит им достичь основных целей
рынке присутствует множество произво- их бизнеса.
дителей устройств, поставщики услуг
способны предложить потребителям Новые технологии
новое прекрасное решение, которое для обеспечения безопасности
защитит весь дом и принесет желаемое умного дома
спокойствие. Операторы связи просто
должны найти решение, благодаря кото- Чтобы решить описанные проблемы,
рому они смогут получать информацию операторам связи необходимо найти
о происходящем в домашней сети. технологию для обеспечения безопас-
ности, защищающую подключенный дом
Имеется достаточно большое количе- целиком, включая маршрутизатор. Пере-
ство исследований, показывающих, что довые решения должны обеспечивать
потребители согласны платить за защиту блокирование входящего и исходящего
своих устройств и данных. Так, в прове- злонамеренного трафика, включать в
денном ранее в этом году исследовании себя устройства обработки Fingerprinting
Blackberry утверждается, что 58% потре- и обнаруживать аномальное поведение
бителей готовы платить больше за под- с помощью искусственного интеллекта.
ключенные устройства, если они уверены
в том, что их данные и конфиденциаль- Помимо обеспечения безопасности,
ность защищены. Предоставляя действи- наилучшие решения, претендующие на
тельно затребованные потребителями самое качественное обслуживание або-
услуги обеспечения безопасности и управ- нента, должны обеспечивать родитель-
ления Wi-Fi, операторы связи могут повы- ский контроль, управление и оптимиза-
сить ARPU и сократить основные затраты. цию Wi-Fi. Безусловно, важнейшим
дополнением к управлению Wi-Fi являет-
На что должны обращать ся обеспечение его безопасности, и для
внимание поставщики услуг? операторов важны все аспекты, позво-
ляющие повысить продажи и сократить
При защите услуг умного дома опера- текучесть абонентской базы.
торам связи нужно удовлетворить как
запросы своих заказчиков, так и требо- Роль искусственного интеллекта
вания текущего и будущего законода- в защите от угроз
тельства.
Искусственный интеллект может стать
Помимо повышения уязвимости, для умного дома основным средством
обусловленного быстрым распростра- обнаружения угроз и нестандартного
нением поддерживающих IoT-устройств, поведения в режиме реального времени.
операторы связи и потребители сталки- Исключительно важно найти решение,
ваются с проблемами управления умным в котором применяется технология Fin-
домом. Когда у абонентов возникает gerprinting, не нарушающая конфиден-
вопрос с безопасностью или соединени- циальность потребителя и использующая
ем, они обращаются за содействием такие инструменты, как углубленная
к своему поставщику услуг широкопо- проверка пакетов (DPI). Благодаря авто-
лосной связи. Однако операторы связи матическому обнаружению устройств
неспособны заглянуть за шлюз, чтобы и распознаванию отклонений от стан-
проверить работу устройств и получить дартного функционирования это реше-
сведения о них с целью решения воз- ние способно выделять уязвимости,
никших проблем. предлагать способы устранения угроз
и даже решать проблемы с соединением
Поэтому операторам связи необходи- при минимальных усилиях со стороны
мы инструменты, повышающие эффек- потребителя и его поставщика услуг.
тивность решения проблем с безопас-
ностью и качество предоставляемых Дополнительную информацию о реше-
потребителям услуг. Важнейшей частью нии Irdeto Trusted Home для обеспечения
любого решения является технология безопасности и управления соединения-
Fingerprinting в IoT. Она обеспечивает ми можно получить на сайте
получение потребителем и его постав- www.irdeto.com2. l
щиком услуг полной и достоверной
информации о подключенных к домаш- Ваше мнение и вопросы
ней сети устройствах. присылайте по адресу

2 https://irdeto.com/video-entertain- [email protected]

ment/smart-home-security-wifi-manage-

ment/

ТЕХНОЛОГИИ

Защита удаленных подключений:
всерьез и надолго

Дмитрий Мороз, менеджер по развитию бизнеса департамента ИБ, компания
INLINE Technologies

2020 год становится, пожалуй, самым знаковым за последние
два десятилетия для нашей страны и мира в целом.
В условиях пандемии перевод сотрудников предприятий
и организаций на удаленный режим работы приобрел
небывалые масштабы и затронул даже те отрасли, где работа
вне офиса ранее не приветствовалась, например банки.
С учетом того, что обеспечение безопасности является
ключевым аспектом дистанционных коммуникаций, особую
актуальность для организаций приобретает выбор тактики
корпоративной ИБ в новых условиях.

Многие организации Временные меры – от этого и продолжить работать угрозы, настроены политики
стали широко использовать не выход как раньше. Между тем есть безопасности и реализованы
ИБ-продукты по схеме основания полагать, что после механизмы автоматического
Try & Buy, рассчитывая сей- Массовый переход на первой волны социальных применения этих политик.
час защититься массовым работу в удаленном и зачастую ограничений вполне может Кроме того, в нашей стране
ПО по бесплатной лицензии, незащищенном режиме откры- последовать и вторая, и третья – рабочие места в силу разных
а потом отказаться от этого вает для злоумышленников хотя бы вслед за волнами актив- обстоятельств в большинстве
и продолжить работать как гораздо более богатые возмож- ности того же коронавируса. своем оборудованы настольны-
раньше. ности, чем это было до сих пор. И соответственно, в ближайшем ми ПК, а не ноутбуками, а их
И, как показывает практика, будущем все временные реше- зачастую сложно унести домой.
Очевидно, что минималь- далеко не все организации ока- ния необходимо будет превра- Соответственно, сегодня в рос-
но необходимой мерой обес- зываются готовыми к масшта- щать в комплексные системы. сийских организациях в основ-
печения безопасного сеанса бам этих угроз. Взаимодействуя ном реализована другая извест-
пользователя в рамках с нашими заказчиками, мы Основные уязвимости ная концепция, BYOD (Bring
BYOD должна быть защита нередко убеждаемся, что те Your Own Device), которая
подключения устройства срочные меры, которые пред- При защите удаленных уча- предполагает использование
к корпоративной сети принимаются в режиме "здесь стков инфраструктуры, которые сотрудниками собственных
с помощью VPN. Однако и сейчас", скорее всего не могут наиболее доступны для внеш- устройств для удаленной рабо-
VPN не решает исходную быть жизнеспособными в дол- них атак, первостепенное вни- ты с корпоративными инфор-
проблему включения в сеть госрочной перспективе. мание, на наш взгляд, должно мационными системами. И это
непроверенного домашнего быть уделено мониторингу под- порождает дополнительные
устройства. Так, многие организации ключений и аудиту пользовате- риски, поскольку ИТ-службы
даже вопреки внутренним стан- лей. в общем случае не имеют пред-
38 • дартам стали широко исполь- ставления о том, что это за
зовать ИБ-продукты по схеме Безусловно, наиболее благо- устройства, кто имеет к ним
Try & Buy, по большей части приятной можно считать ситуа- доступ и что вообще через них
рассчитывая сейчас защититься цию, когда у организации есть может попасть во внутреннюю
массовым ПО по бесплатной возможность раздать сотрудни- сеть.
лицензии, а потом отказаться кам рабочие ноутбуки для выпол-
нения служебных обязанностей Очевидно, что минимально
из дома. Эта схема работы назы- необходимой мерой обеспече-
вается COBO (Corporate-Owned, ния безопасного сеанса поль-
Business Only). Она, как и ее зователя в рамках BYOD долж-
более открытая разновидность на быть защита подключения
COPE (Corporate-Owned, Personal устройства к корпоративной
Enable), позволяет ИТ-службе сети с помощью VPN. Однако
обеспечить максимальную VPN не решает исходную про-
защищенность систем и кана- блему включения в сеть непро-
лов связи в условиях террито- веренного домашнего устрой-
риально распределенного рас- ства. А таким устройством,
положения корпоративных око- например, может стать игровой
нечных устройств. ПК ребенка, антивирусные базы
в котором не обновлялись
Однако такой вариант не с нужной регулярностью или
везде и не всегда удается реа- же просто отсутствовали ввиду
лизовать. Как минимум в орга- того, что ценной информации
низации для этого заранее на данном устройстве до сих
должны быть детально смоде-
лированы соответствующие ИБ-

ЗАЩИТА СЕТЕЙ www.itsec.ru

пор не было. В результате такой

компьютер может быть уже

неоднократно заражен зловред-

ным ПО, что делает его потен-

циальной точкой входа для про-

никновений с целью компроме-

тации конфиденциальной

информации.

Умная защита для BYOD ративная сеть должна быть сег- краже смартфона, планшета Для того чтобы корректно
ментирована по подразделе- или ноутбука. В свою очередь, минимизировать риски
Для того чтобы корректно ниям или уровням доступа, либо DLP-системы дают организации BYOD, в ИБ-инфраструктуре
минимизировать эти и другие в рамках традиционных подхо- возможность анализировать организации должна быть
риски BYOD, в ИБ-инфраструк- дов с использованием вирту- поведение своих работников: в полной мере реализована
туре организации должна быть альных сетей (VLAN) и данных куда отправляется конфиден- функциональность интел-
в полной мере реализована из каталога Active Directory, циальная информация, не нару- лектуального управления
функциональность интеллекту- либо с помощью программно шает ли пользователь предпи- доступом к сети (Network
ального управления доступом к определяемых методов, напри- санные правила информацион- Access Control, NAC).
сети (Network Access Control, мер на основе технологии Cisco ного обмена. С их помощью
NAC). Такое ПО предлагают TrustSec. можно даже проанализировать, Стоит отметить, что,
сейчас все крупные производи- на что тратится рабочее время выбирая решение NAC,
тели средств сетевой защиты: Стоит отметить, что, выбирая сотрудников. Конечно, данные необходимо в том числе
Cisco, Juniper, Microsoft, Syman- решение NAC, необходимо меры вряд ли являются перво- быть уверенным в возмож-
tec, Trend Micro. В свое время в том числе быть уверенным степенными, однако их можно ности его полноценной
эти системы создавались имен- в возможности его полноценной рассматривать как вторую сту- интеграции с существую-
но для облегчения перевода интеграции с существующим пень ИБ после четко отстроен- щим ИТ-окружением.
бизнес-процессов на схему ИТ-окружением. Между тем ного каркаса безопасности при
BYOD. Но в какой-то момент такая проверка – довольно тру- организации удаленной работы • 39
заказчики все чаще стали внед- доемкий процесс, и если ее сотрудников.
рять и перепрофилировать их провести некорректно, то можно
под более перспективные зада- не получить от NAC нужной И безусловно, технические
чи, такие как Интернет вещей. эффективности из-за функцио- процедуры будут максимально
В результате, хотя в большин- нальных ограничений. Поэтому результативными, только если
стве компаний и реализованы для внедрения систем интел- их подкреплять организацион-
так называемые AAA-процессы лектуального управления досту- ными действиями: вводить
(аутентификация, авторизация пом к сети лучше привлекать внутрикорпоративные регла-
и аудит), относящиеся к ИБ, не специализированные компании, менты и инструкции по работе
у всех до сих пор задействуется которые обладают необходимой в удаленном режиме, оформ-
рабочий инструментарий, кото- квалификацией и опытом лять дополнительные соглаше-
рый позволял бы аутентифици- в сфере информационной без- ния с работниками об исполь-
ровать профили безопасности опасности. зовании конфиденциальной
конечных устройств. информации, проводить общие
Дополнительные меры мероприятия по разъяснению
В нынешних условиях ИТ- ответственности при работе
службам следует по максимуму Помимо NAC организациям с корпоративными ресурсами,
использовать системы управ- также следует обратить внима- сервисами и данными вне
ления сетевым доступом в соот- ние еще на два класса решений, офиса. Таким образом, именно
ветствии с их первоначальным нацеленных на контроль дей- комплексный подход и скрупу-
назначением. В NAC предусмот- ствий пользователей: это систе- лезный учет всех деталей поз-
рены механизмы контроля мы управления мобильными воляет организации оптималь-
и проверки любого устройства, устройствами (Mobile Device ным образом выстроить модель
которое пытается получить Management, MDM) и защиты безопасной "удаленки" не толь-
доступ к корпоративной сети, от информационных утечек ко на краткосрочную перспек-
на соответствие политикам без- (Data Leak Prevention, DLP). Так, тиву, но и на более долгий
опасности. В случае несоответ- MDM-функциональность позво- период. l
ствия система автоматически ляет обеспечить безопасность
запустит на нем определенные и защищенность самих пере- Ваше мнение и вопросы
процедуры нормализации пара- носных устройств удаленных присылайте по адресу
метров доступа в соответствии пользователей, например пред-
с внутренними требованиями отвращая потерю данных при [email protected]
ИБ. Если же такое согласование
осуществить не удастся, то NAC
заблокирует для данного
устройства доступ к корпора-
тивной сети.

Возможен и другой вариант:
устройство, не полностью соот-
ветствующее политикам ИБ,
получит ограниченный доступ к
сети, например к изолирован-
ным областям, не содержащим
критически значимой информа-
ции. Правда, для этого корпо-

ТЕХНОЛОГИИ

Сетевой фейсконтроль,

или Роль NAC в эпоху Zero Trust

Яков Гродзенский, директор департамента информационной безопасности
компании “Системный софт”

В режиме самоизоляции бизнес активно переводит сотрудников
на удаленную работу и получает дополнительные проблемы
с информационной безопасностью. Когда большое количество
пользователей обращается к корпоративным ресурсам
с домашних компьютеров, к привычным уже трудностям
с бюджетированием и нехваткой кадров добавляются
дополнительные риски.

За 10 лет концепция Zero Проще всего защи- будут работать внедренные метра, так и на арендованных
Trust развилась в целостный титься от угроз тем ранее решения. На самом деле площадях или даже на VDS.
подход к кибербезопасно- заказчикам, которые виртуальная частная сеть – не При этом не придется платить
сти, защищающий компании заранее начали внед- панацея, а имеющиеся продук- за клиентские терминальные
от известных и еще рять концепцию нулево- ты не рассчитаны на большое лицензии Windows: корпорация
неизвестных угроз. го доверия (Zero Trust). количество удаленных пользо- Microsoft позволяет использо-
В условиях, когда дис- вателей. Внутри защищенного вать RDS в ознакомительном
Несмотря на то что тра- танционная работа стала дол- периметра эти средства рабо- режиме в течение 120 дней
фик шифруется с помощью говременным трендом, ее тают, но сотрудники подклю- (скорее всего, этого хватит на
VPN, компьютеры могут значение для сферы ИБ воз- чаются с личных устройств, время действия режима само-
быть заражены клавиатур- растает многократно. для которых корпоративные изоляции). Обеспечить безопас-
ными агентами и другим политики безопасности ничего ность в таком варианте намного
шпионским ПО, шифроваль- Концепция Zero Trust не значат. Несмотря на то что проще, поскольку личные ком-
щиками, вымогателями трафик шифруется с помощью пьютеры будут работать только
и прочими опасными зло- Модель безопасности с нуле- VPN, компьютеры могут быть с одной машиной и только по
вредами, и VPN здесь не вым доверием была разрабо- заражены клавиатурными протоколу RDP, а доступ
поможет. тана бывшим аналитиком For- агентами и другим шпионским к защищенным корпоративным
rester Джоном Киндервагом ПО, шифровальщиками, вымо- ресурсам придется контроли-
40 • в 2010 г. и с тех пор стала гателями и прочими опасными ровать только с одного сервера.
одной из основных отраслевых зловредами, и VPN здесь не У клиентов в их виртуальных
концепций. Преимущество Zero поможет. рабочих столах будет унифици-
Trust заключается в отсутствии рованный софт, то есть про-
необходимости строить деталь- Трафик в сетях общего поль- блемы с различными аппарат-
ную модель угроз, поскольку зования может быть перехвачен но-программными конфигура-
угроза может исходить откуда с использованием атак типа циями также уходят. Для
угодно: от каналов передачи Man in the Middle (человек посе- нескольких десятков пользова-
данных, от активного сетевого редине), особенно если поль- телей такое решение годится,
оборудования, от внешних сер- зователь подключился к пуб- но в крупных компаниях счет
висов и корпоративных инфор- личному Wi-Fi, а ведь данные пользователей часто идет на
мационных систем, от сотруд- для входа в VPN также могут тысячи, а потому простейшие
ников и контрагентов. За 10 лет быть скомпрометированы. решения оказываются довольно
концепция Zero Trust развилась Иными словами, даже если в сложными и/или затратными.
в целостный подход к кибербе- компании практикуется модель
зопасности, защищающий ком- безопасности с нулевым дове- Внедряем NAC
пании от известных и еще рием, для обеспечения дистан-
неизвестных угроз. Для реали- ционной работы в нынешних Использование личных машин
зации модели используются условиях потребуются специ- сотрудников для удаленного
различные инструменты и тех- альные средства контроля. доступа – суровая необходи-
нологии, включая межсетевые мость для среднего и крупного
экраны, системы DLP и MDM, Решаем проблему малой бизнеса. Иногда в этом случае
поведенческий анализ и многое кровью департамент ИБ пытается про-
другое. писать некие политики безопас-
Небольшой компании доста- ности на бумаге, скажем корпо-
Новые угрозы в режиме точно выдать сотрудникам кор- ративные информационные
самоизоляции поративные ноутбуки или раз- системы нельзя использовать с
вернуть сервис терминалов компьютера без установленного
Бытует мнение, будто для (Remote Desktop Services, или антивируса. Но даже если раз-
организации доступа в корпо- RDS) и перейти на тонкие кли- дать всем корпоративные лицен-
ративную сеть извне достаточ- енты. Его нетрудно запустить зии, нет никакой гарантии, что
но организовать VPN, а дальше как внутри защищенного пери-

ЗАЩИТА СЕТЕЙ www.itsec.ru

Реклама

сотрудники выполнят это тре- Связь NAC и Zero Trust алгоритму. NAC позволяет Без специального реше-
бование. Без специального задать, например, правило, тре- ния невозможно проверить
решения невозможно проверить В рамках концепции нулевого бующее установки DLP-агента соответствие домашних
соответствие домашних машин доверия необходимо отслежи- или агента MDM для мобильного машин корпоративной поли-
корпоративной политике без- вать все попытки обращения устройства. В случае отсутствия тике безопасности, для
опасности, для этого стоит внед- пользователя к корпоративным нужного ПО критичные ИТ- этого стоит внедрить агент-
рить агентское или безагентское ресурсам и принимать решения системы будут недоступны поль- ское или безагентское
решение класса NAC. об их правомерности. NAC зователю, а офицер безопасно- решение класса NAC.
делать этого не может, но он сти получит уведомление о про-
Система будет анализировать интегрируется с большим коли- изошедшем событии. В зависимости от рассчи-
каждый пытающийся подклю- чеством различных решений, танных для компьютера
читься к сети компьютер или включая такие корпоративные Zero Trust – это концепция, показателей риска NAC
мобильное устройство и вычис- системы безопасности, как DLP реализовать которую можно определяет используемые
лять для него определенный и межсетевые экраны. В зави- с помощью разнообразных для него политики безопас-
рейтинг безопасности. Отсле- симости от рассчитанных для средств обеспечения информа- ности и, например, дает
живаться могут самые разные компьютера показателей риска ционной безопасности. Когда файрволу команду ограни-
показатели: версия операцион- NAC определяет используемые персонал находится в офисе, чить доступ к определенным
ной системы, наличие установ- для него политики безопасности особых проблем с проверкой информационным системам.
ленных обновлений, наличие и, например, дает файрволу рабочих компьютеров не возни-
антивирусных программ с акту- команду ограничить доступ кает. Как только внутри защи-
альными базами или агентов к определенным информацион- щенного периметра появляется
MDM и DLP, настройки межсе- ным системам. большое количество подключен-
тевого экрана и многое другое. ных через сети общего пользо-
Для клиентского устройства У NAC есть два вида проверок – вания личных устройств, ситуа-
рассчитываются индикаторы Preconnection и Postconnection. ция меняется. В условиях само-
риска, а затем к нему приме- Если он разрешил устройству изоляции NAC становится обя-
няются политики безопасности. доступ в сеть или к корпоратив- зательным инструментом для
Можно, например, поместить ным ресурсам, это вовсе не реализации модели безопасно-
его в отдельный VLAN с ограни- означает, что доступ открыт на сти с нулевым доверием. l
ченными правами доступа к кор- неограниченный срок. Соответ-
поративным информационным ствие компьютера политикам Ваше мнение и вопросы
системам. безопасности будет периодиче- присылайте по адресу
ски проверяться по заданному
[email protected]

Колонка редактора

В предвкушении работы над ошибками кто-то оказался к этому в большей степени готов,
кому-то пришлось спешно приводить себя в такую
Сергей Рысин, 2020 год в самом разгаре, мы все строили на него готовность, пока бизнес-процессы не прекратили
эксперт по большие планы. Но теперь фокус внимания сосредо- функционировать. Но, несмотря на в целом успеш-
информационной точен на совсем других вызовах, их диктует общеми- ное выполнение этой задачи, многие из нас смогли
безопасности ровая повестка в связи с пандемией коронавируса. выявить серьезные проблемы в своем периметре,
взглянув на него под новым углом.
Пандемия заставила нас всех взглянуть на свою
инфраструктуру под новым углом. Именно сейчас И далее нам всем предстоит увлекательная
у нас появилась редкая возможность проверить работа над ошибками, направленная на приведение
в стрессовых условиях эффективность проведенной своих систем в соответствие с потребностями,
работы по планированию и проектированию сете- диктуемыми новыми реалиями жизни. Из положи-
вого периметра. Ведь все мы так долго и упорно тельных моментов можно отметить то, что теперь
его выстраивали, имея роскошь находиться на руководство, пожалуй, не будет так скептически
рабочем месте в уютном офисе. смотреть на затраты, идущие на решение задач
информационной безопасности, защиты периметра,
Отсюда следующий логический шаг связан обучения персонала основам ИБ.
с самым уязвимым местом даже в самой надежной
инфраструктуре – пользователем. Сейчас бизнес как никогда зависим от нашего
правильного выбора дальнейшей стратегии разви-
Мы проходим хорошее испытание, экстренно тия информационных систем и инфраструктуры. l
переводя наших пользователей на удаленную работу:

• 41

ТЕХНОЛОГИИ

Простой автоматизацией

в ИТ уже не обойтись

Дарья Орешкина, директор по развитию бизнеса компании Web Control

Ж изнь ускоряется, и без цифровой трансформации
компании обречены на отставание. В отдельных
организациях уже созданы автоматизированные “островки
скорости", но для качественного рывка требуются
“магистрали".

Сама по себе цифровая трансфор- ствие всех членов команды. Основной Continuous Delivery –
мация тесно связана с разработкой целью DevOps является формирование непрерывная поставка
программного обеспечения и своевре- культуры и создание среды разработки,
менностью его создания. Все уже слы- в которой команды работают совместно, Continuous Delivery – это набор про-
шали про DevOps и его преимущества, чтобы быстро и качественно выпускать цессов и методов, необходимых для
многие компании создали DevOps- программное обеспечение. Компании, обеспечения непрерывности процесса
команды, но по-прежнему используют внедрившие DevOps сегодня, способны создания ПО, скорейшей поставки кли-
ручные механизмы управления про- делать сотни, а то и тысячи релизов енту нового функционала и получения
цессами с сопутствующим человече- в день. обратной связи от рынка как можно
ским фактором. В сложившейся ситуа- раньше.
ции нужны современные решения для Но DevOps – это концептуальное поня-
оркестрации процессов разработки. Без тие, которое предполагает существенное Deployment Automation –
четкой оркестрации бесчисленного изменение технологий и процессов при автоматизация развертывания
набора инструментов разработки "ост- поставке корпоративных программных
ровки скорости" в "магистраль" не пре- продуктов, и все эти изменения породили Непрерывная поставка невозможна без
вратятся. Кроме того, это требует при- новый инструментарий. Прежде чем автоматизированного развертывания
менения новых подходов к обеспечению говорить о нем, давайте договоримся в различных средах, используемых
безопасности создаваемого кода. о нескольких базовых определениях в цикле разработки (SDLC). Использова-
DevOps. ние решения для автоматизации развер-
Цифровая трансформация подразу- тывания гарантирует наличие у команд
мевает появление все более сложных Release Orchestration – оркестрация безопасных возможностей самообслу-
программных продуктов, для разработки живания для непрерывной интеграции,
которых нужны сотни, тысячи и даже релизов получения нужной среды и организации
сотни тысяч человеко-часов. Она требует тестирования. С помощью решения авто-
новых подходов и методологий, таких Оркестрация релизов помогает пред- матизированного развертывания можно
как DevOps, использующих средства приятиям эффективно управлять добиться более частого и надежного раз-
автоматизации на всех этапах и уровнях и оптимизировать свои конвейеры вертывания приложений и существенного
процесса разработки. Применение релизов. Она необходима для органи- снижения числа неудачных попыток. Раз-
современной методологии оркестрации заций, которые хотят воспользоваться витый механизм автоматизации развер-
процессов и средств автоматизации – преимуществами непрерывной постав- тывания является фундаментом процесса
это единственный путь к тому, чтобы ки и DevOps. Корпоративно-ориенти- непрерывной поставки.
быть в авангарде постоянных изменений рованные решения оркестрации рели-
среды разработки и обеспечить конку- зов предоставляют важную информа- Everything as Code –
рентоспособность бизнеса. цию о состоянии релизов в реальном "что угодно как код"
времени. Кроме того, благодаря под-
Основные понятия DevOps робным отчетам и аналитике они Использование подхода Everything as
поставляют сведения, необходимые для Code упрощает процессы автоматизации
DevOps – это, по сути, философия принятия лучших решений. Инструмен- всех этапов создания ПО. При исполь-
и бизнес-ориентированный подход ты оркестрации релизов обеспечивают зовании этого подхода все компоненты,
к поставке программных решений. контроль над процессом подготовки необходимые для сборки и поставки
DevOps стремится разрушить барьеры релизов, соблюдение требований регу- приложения (пакеты развертывания,
недопонимания, которые традиционно ляторов, а также позволяют легко изме- инфраструктура, среды, шаблоны рели-
существовали между разработчиками нять планы релизов в контролируемой зов, панели управления), реализуются
и инженерами, бизнесом и технологиями, форме. Они управляют комбинацией в виде кода. Представление конвейера
и помогает организовать взаимодей- ручных и автоматизированных задач, поставки в виде кода дает возможность
выполняемых различными бизнес- стандартизировать, автоматизировать
42 • и техническими командами. Для реа- и полностью контролировать вложенные
лизации этого функционала исполь- проекты, приложения и команды.
зуются инструменты Application Release
Orchestration (ARO, оркестрация рели- Feedback Loops –
зов приложений), называемые также петли обратной связи
Application Release Automation (ARA,
автоматизация выпуска приложений) Петли обратной связи критически
или Continuous Delivery and Release необходимы для повышения управляе-
Automation (CDRA, автоматизация мости процесса создания ПО. Быстрая
непрерывной доставки и выпуска). и непрерывная обратная связь между
разработчиками и службами эксплуата-

РАЗРАБОТКИ www.itsec.ru

ции на ранних этапах процесса поставки рацию отчетов, – всем нужно что-то, что • 43Реклама
программного обеспечения является автоматизирует их работу, и это что-то
одним из основных принципов DevOps. должно уметь гибко и просто подстраи-
Обратная связь не только помогает ваться под непрерывные изменения.
гарантировать, что вы даете клиентам Компаниям нужен общий язык автома-
то, что они на самом деле хотят, но тизации на уровне всего бизнес-процесса
и в конечном итоге снижает нагрузку на и всех пользователей. Это не значит,
команды разработки. что должен быть некий единый продукт,
автоматизирующий все процессы
Governance – управляемость и инструменты, это значит, что не должно
быть перекоса, когда "слабое звено"
Под управляемостью понимают набор тормозит процессы или создает излиш-
метрик и критериев, с помощью которых ние риски, связанные с человеческим
компании оценивают процесс разработки фактором. Если разработчики исполь-
ПО и получают гарантии, что отдача от зуют передовые решения для автомати-
инвестиций в технологии соответствует зации разработки, но потом сталкивают-
ожиданиям. Кроме соответствия биз- ся с многодневным ручным согласова-
нес-целям также обеспечивается выпол- нием развертывания релиза в производ-
нение требований общих стандартов, ственной среде или тестированием без-
OWASP, PCI 3.2 и др. опасности кода, то, очевидно, возникнет
желание оптимизировать и автоматизи-
NoOps ровать и эти процессы. И для каждого из
них, как правило, выбирается свой
Тип организации управления процес- инструмент автоматизации.
сом создания систем, при котором все
управление процессом создания про- В какой-то мере быстрое развитие
дукта отдано внешним командам (воз- автоматизации и легкость цифровизации
можно, внешним провайдерам продуктов зависит от имеющихся технологических
автоматизации) или полностью автома- партнерств различных производителей,
тизировано внутри компании. Такая орга- обеспечивающих интеграцию технологий
низация ставит своей целью минимизи- и упрощение их совместного использо-
ровать или исключить внутренние пози- вания. Для этого нужно четко понимать
ции управления разработкой или создать производственную нишу каждого инстру-
выделенные роли. мента. Ярким примером такой класси-
фикации по нишам является периоди-
Shifting Left – "сдвиг влево" ческая таблица инструментов DevOps
к самым ранним этапам цикла SDLC от XebiaLabs.

С увеличением скорости создания про- Но это только часть проблем. Совре-
дуктов возрастают риски безопасности менная компания, как правило, имеет
кода и проблемы с соответствием тре- большое количество команд, вовлеченных
бованиям в различных приложениях, в процесс разработки, причем эти команды
группах и средах, так как проверка без- не всегда имеют одинаковый уровень зре-
опасности существенно замедляет про- лости. Как же с этим бороться? Создание
цесс выпуска новых сборок продукта. единого методологического и инструмен-
Сдвиг влево предполагает интеграцию тального репозитория, а также формиро-
процессов оценки рисков, тестирования вание сообщества энтузиастов-новаторов,
безопасности и оценки соответствия на способных реализовывать инновационные
ранних этапах конвейера поставки. Он подходы, методологии и инструментарий,
делает процессы создания продукта позволяют другим командам быстро дости-
и контроля его качества и безопасности гать высокого уровня зрелости. Такое
параллельными. Это позволяет обнару- сообщество может объединять членов раз-
живать потенциальные риски безопас- личных команд, помогает понять их потреб-
ности и связанные с ними задержки ности, способствует развитию совместной
в выпуске релизов на более ранних ста- работы и обмену практиками автоматиза-
диях разработки, что значительно сни- ции, специфичными конкретно для этой
жает затраты на исправление ошибок, компании. Группа новаторов создает место
ускоряет выпуск новых версий и упро- для формирования новых связей, о необхо-
щает решение проблем безопасности димости которых многие даже не подо-
и надежности ПО. зревали. Для успешного масштабирования
автоматизации требуются как технологии,
Общий язык, так и пользователи, которые хотят и могут
единый репозиторий воспользоваться преимуществами авто-
инструментов и обратная связь – матизации.
основы автоматизации
Для повышения эффективности авто-
В любой компании есть множество матизации бизнес-процессов компании
ролей, которые сильно влияют на успеш- необходимо найти платформу автомати-
ность цифровой трансформации, и авто- зации всего процесса разработки, кото-
матизация процессов должна отвечать рая имеет необходимую аналитику для
интересам каждой роли. Разработчики, создания эффективной обратной связи
пытающиеся ускорить релизы, системные в управлении процессами разработки.
администраторы, запускающие скрипты Особенно важна аналитика, которая
для рутинных задач, менеджеры, уста- может сказать, как используется авто-
навливающие расписание на автогене-

ТЕХНОЛОГИИ

Периодическая таблица инструментов DevOps от XebiaLabs1 потому что сегодня большинство крупных
компаний стали разработчиками программ-
матизация, где и насколько эффективно. ваемого продукта. Чтобы выпускать рели- ного обеспечения. Без разработки нет биз-
Как гласит пословица, знание – сила. зы часто и не жертвовать безопасностью, неса, поэтому она должна быть продуктив-
Чем больше вы знаете о процессе, тем необходимо встроить в конвейер разра- ной, а для этого нужно предоставить раз-
лучше он работает. Автоматизация – это ботки ПО инструменты проверки качества работчикам возможность использовать
не самоцель, она нужна ради повышения кода, такие как SAST, DAST, SCA. любимые инструменты. Однако очень часто
эффективности и замены рутинных про- конвейер разработки довольно сегменти-
цессов автоматическими. Если вы пытае- Инструменты SCA2 интегрируются рован и не всегда дает прозрачность ситуа-
тесь сделать процессы автоматическими с репозиториями, инструментами сборки, ции. Использование платформы оркестра-
(не зависящими от человека), аналитика серверами непрерывной интеграции и поз- ции релизов, например XebiaLabs DevOps
позволит вам отслеживать, насколько воляют обнаруживать проблемы с без- Platform, добавляет необходимую ясность
эффективно это работает. Она помогает опасностью в компонентах Open Source и управляемость, не мешая командам раз-
вам лучше понять, что работает хорошо, на самых ранних этапах разработки, реа- работчиков, какие бы инструменты и среды
а где требуются улучшения. Наличие лизуя таким образом принцип Shift Left, они ни использовали – Microsoft Azure,
петель обратной связи является неотъем- когда исправления можно делать быстрее AWS, Kubernetes или другие решения.
лемым условием успеха автоматизации. и проще. И здесь опять же требуется И бизнес, и разработчики получают то, что
платформа оркестрации, которая позволит хотят. Вам не нужно вносить серьезные
В целом успешная автоматизация тре- видеть состояние каждого программного изменения, чтобы быстро повысить эффек-
бует наличия поддерживающей плат- компонента и проекта в целом, находить тивность процесса доставки программного
формы оркестрации релизов, которая наиболее влияющие на скорость разра- обеспечения.
обеспечит координацию и совместную ботки задачи, запускать проверки без-
работу различных групп и автоматиче- опасности насколько возможно раньше, Поддержка "быстрых команд"
ских инструментов. Не все процессы чтобы не тормозить выпуски и иметь пол- будет мейнстримом
можно полностью автоматизировать. ную прозрачность конвейера разработки.
Всегда останутся операции, требующие Скорость релизов имеет все большее
человеческого участия. Платформы Совет от XebiaLabs в 2020 году: значение. Во многих компаниях уже
оркестрации дают возможность орга- дайте свободу разработчикам существуют "островки скорости", часто
нично сопрягать и автоматические, и порожденные тремя типами команд:
ручные операции. Платформа XebiaLabs, Критично важно предоставлять раз-
например, позволяет не только органич- работчикам свободу и одновременно 1. Инноваторы. Это команды, которые
но вплетать ручные операции в процесс контролировать их. И это возможно. переносят современные микросервисные
непрерывной поставки ПО, но и значи- Оставьте разработчикам свободу выбора приложения в облако. Они используют
тельно повысить эффективность опера- инструментов и сред. При этом XebiaLabs инструменты непрерывной интеграции
ций, требующих внимания человека, может предоставить платформу, которая и имеют возможность выпускать прило-
и отслеживать их реактивность. А нали- даст руководству компании уверенность, жения в любое время. Простая среда
чие обратной связи DevOps Intellegence, что они получают то, что нужно. Баланс приложения и возможность самостоя-
предоставляемой платформой Xebia- между свободой и контролем достигнут. тельно выпускать релизы – два подхода,
Labs, обеспечивает производительность которые можно применять практически
всех операций в процессе непрерывной Крупные компании годами инвестиро- во всех случаях. Такие принципы, как
поставки. вали значительные средства в инстру- GitOps и NoOps, являются для них двумя
менты, подобные Jenkins и Jira, и они принципиально важными компонентами,
"Сдвиг влево" процессов стали основой для их работы. Эти компа- которыми они живут днем и ночью.
безопасности релизов нии не хотят их менять, да им и не нужно
этого делать. XebiaLabs интегрирует суще- 2. Автоматизаторы. Эти команды очень
Автоматизация дает ускорение разра- ствующие инструменты и предлагает кор- серьезно относятся к автоматизации
ботки продукта, но сама по себе она не поративные функции, которые способ- и автоматизируют весь конвейер. Они
гарантирует его безопасность. При этом ствуют масштабируемости, соответствию выстроили тестирование GUI, приемоч-
безопасность кода сегодня – один из требованиям и скорости разработки. ное тестирование, еще какие-то процес-
основных критериев качества разрабаты- сы. Но даже при полной автоматизации
Разработка ПО очень важна для успеха, и подключении всех инструментов все
она является частью любой организации, равно остаются узкие места и задержки
из-за зависимостей от других задач,
1 https://xebialabs.com/periodic-table-of-devops-tools/ сопровождающих разработку.
2 Орешкина Д. Методы анализа исходного кода // Information Security
(Информационная безопасность). 2020. № 1. С. 44. 3. Оптимизаторы. Эти команды бро-
сают вызов существующим правилам
44 • и руководствам, которые существовали
десятилетиями, критически обдумывают
и пересматривают их с целью упрощения
и экономии времени и сил. Присмотри-
тесь к этим ребятам.

Организация выиграет, когда найдет
все три такие команды и объединит их
практики. Инноваторы, автоматизаторы
и оптимизаторы, работающие вместе,
являются золотым фондом компании.

Упрощенные, автоматизированные
процессы позволят вам освоить иннова-
ции и ускориться в целом, а "островки
скорости" превратить в"магистрали". l

Ваше мнение и вопросы
присылайте по адресу

[email protected]

Сертификация и измерения www.itsec.ru

О положении дел в метрологии
информационной безопасности

Андрей Кондратьев, эксперт по ТЗИ

А нализ законодательства показывает, что задачи ТЗИ,
относящиеся к области обороноспособности государства,
несмотря на ряд прямых указаний (закон 102-ФЗ
от 26.06.2008 г., постановление Правительства РФ № 780
от 02.10.2009 г., постановление Правительства РФ № 1567
от 30.12.2016 г. и т.д.) по-прежнему выпадают из сферы
обеспечения единства измерений.

Крайне сложно понять, на Какой должна быть l операции при подго-
основании каких именно доку- методика товке к выполнению
ментов и какие именно госу- измерений, в том числе
дарственные структуры ответ- В Государственной системе отбор проб;
ственны за исполнение и конт- измерений (ГСИ) есть один- l операции при выпол-
роль исполнения законода- единственный стандарт, опре- нении измерений;
тельной метрологии в области деляющий состав, содержание l операции обработки резуль-
ТЗИ и защиты информации в разделов и форму методики татов измерений;
целом. измерений – ГОСТ Р 8.563– l требования к оформлению
2009 "Государственная система результатов измерений;
Отсутствие метрологическо- обеспечения единства измере- l процедуры и периодичность
го контроля как со стороны ний. Методики (методы) изме- контроля точности получаемых
Минобороны России, так и рений". результатов измерений;
Ростехрегулирования приво- l требования к квалификации
дит к невозможности оценки В соответствии с п. 5.2.2 ука- операторов;
объективности результатов занного стандарта обязатель- l требования к обеспечению
измерений (аттестационных ными составляющими (разде- безопасности выполняемых
испытаний). Причем во всех лами) любой методики измере- работ;
документах, регламентирую- ния являются: l требования к обеспечению
щих работу аттестационных l наименование методики экологической безопасности;
центров, нет ни одного упо- измерений; l другие требования и опера-
минания (не говоря уже о тре- l назначение методики изме- ции (при необходимости).
бованиях) области метроло- рений;
гии, включая требования по l область применения; Глядя на этот перечень гла-
аккредитации таких центров. l условия выполнения измере- зами специалиста в области
В настоящее время это осо- ний; измерений в ТЗИ, не просто
бенно сказывается в связи с l метод (методы) измерений; знающего содержание дей-
общим снижением уровня l допускаемая и (или) припи-
подготовки инженерного кор- санная неопределенность изме-
пуса. рений или норма погрешности
и (или) приписанные характе-
К сожалению, даже с учетом ристики погрешности измере-
рабочих обсуждений в цент- ний;
ральном аппарате ФСТЭК l применяемые средства изме-
и письменных отзывов на про- рений, стандартные образцы,
екты нормативно-методиче- их метрологические характери-
ских документов (НМД) разра- стики и сведения об утвержде-
ботка таких НМД продолжает нии их типов.
вестись без упоминания в ТЗ
на работы задач обеспечения В случае использования
единства измерений. Резуль- аттестованных смесей доку-
татам НИР, проводимых по мент по методике измерений
тематике по заказу ФСТЭК, должен содержать методики
в том числе с участием веду- их приготовления, ГОСТ Р
щих лицензиатов, в части пред- 8.563–2009 – требования к
ложений по приближению, хотя вспомогательным устрой-
бы по форме, разрабатывае- ствам, материалам и реакти-
мых проектов НМД к требова- вам (приводят их технические
ниям действующих стандартов характеристики и обозначе-
уделяется незаслуженно мало ние документов, в соответ-
внимания. ствии с которыми их выпус-
кают);

• 45

Сертификация и измерения

Комментарий эксперта метрологической аттестации
классической МВИ "Методика
Александр Цым, начальник научной лаборатории ФГУП ЦНИИС, измерений затухания электро-
д.т.н., с.н.с., профессор кафедры “Перспективные технологии и услуги" магнитного поля на специ-
МТУСИ, заслуженный работник связи Российской Федерации альных объектах". Автор в то
время написал некий текст, как
Сложным является состояние системы сертификации РОСС RU.0001.01БИ00, созданной полагал, вполне адекватный,
и поддерживаемой ФСТЭК. Отсутствие требований по обеспечению единства измерений в поскольку составлялся он на
Положении о системе сертификации средств защиты информации (приказ ФСТЭК № 55 от базе уже действовавших мето-
03.04.2018 г.), Положении об аккредитации… от 25.11.1994 г.и др. приводят к тому, что под- дик, с учетом вышеприведен-
готовка специалистов, методическое и иное обеспечение испытательных лабораторий не ного стандарта, с учетом
смогут обеспечить полноту и точность сертификационных испытаний. "МИ 1967-89 ГСИ. Выбор мето-
дов и средств измерений при
Единые, прошедшие процедуру метрологической аттестации (метрологической экспертизы) разработке методик выполне-
методики сертификационных испытаний, как и все предусмотренные законом функции ния измерений. Общие поло-
контроля работы ИЛ, отсутствуют. В результате этого возникает риск, что не все образцы жения" и с учетом ряда иных
сертифицированных средств защиты смогут обеспечить необходимый уровень защищенности стандартов.
информации.
И тем не менее специализи-
Это может привести в конечном итоге к снижению защищенности информационной рованный институт Минобороны
инфраструктуры страны. России полгода тщательно
отрабатывал каждую формули-
ствующих методик сертифика- Хотя бы потому, что ни один ровку, пока документ не был
ционных испытаний, но и имею- проект таких методик даже по реально доведен до ума. Школа
щего опыт работы с ними, структуре не совпадает с была непростая, но крайне
вынужден отметить, что у этих вышеприведенными требова- эффективная: она дала бесцен-
методик практически нет ниями. ное понимание того, как именно
шанса получить свидетельства должен видеть метролог (а не
о метрологической аттестации. В 2011 г. автор участвовал просто радиоинженер) процеду-
в разработке и официальной ру измерения, на чем, как про-
цедурно, так и по сути он обязан
Комментарий эксперта сосредоточить свое внимание
при разработке МВИ.
Александр Прелов, в прошлом главный специалист специального
отдела НИИ “Квант"; преподаватель (с 1994 г.) факультета Именно инженер-практик,
информационной безопасности МИФИ ТЗИ-шник, СИ-шник понимает,
что именно нужно измерять и,
В советский период Гостехкомиссия СССР всячески тормозила утверждение единых для главное, для чего. А метролог
всей страны методик контроля защищенности, а их соответствие метрологическим нормам должен точно и четко описать,
и требованиям даже не рассматривалось. как именно это нужно выпол-
нять. И если оба аспекта данной
Ситуация с тех пор не ухудшилась, но и не сильно улучшилась. задачи может в достаточной
Несомненно, что такая область знаний, как ТЗИ, обязательно должна быть в фокусе вни- степени сформулировать один
мания 102-ФЗ. и тот же человек, результат
Поднятая тема тем более актуальна, что развитие техники вообще и вычислительной будет достигнут с минимальны-
техники (в области защиты которой НИИ "Квант" многие годы выполнял роль головного ми затратами любых ресурсов
предприятия страны) в частности также требуют глубокого пересмотра руководящих доку- и он неизбежно будет близок
ментов, начиная с норм защищенности, методик контроля и т.д. к оптимуму.
Независимая (метрологическая) экспертиза методик, несомненно, повысит их качество
и позволит избежать многих сегодняшних к ним претензий. Более того, после окончания
работ на реальном объекте
46 • автору совместно с коллегами
из Минобороны России при-
шлось еще по этой методике
и реально работать. Не буду
утверждать, что применение
документа на практике прошло
"без сучка и задоринки", все же
это был первый наш опыт.
Шероховатости проявились, но
тем не менее методика показа-
ла себя вполне рабочей и испол-
нимой.

Этот пример показывает,
что для того, чтобы разраба-
тывать и, главное, реализо-
вывать правильные методики
измерений, имеются все воз-
можности. l

Ваше мнение и вопросы
присылайте по адресу

[email protected]

НОВЫЕ ПРОДУКТЫ И УСЛУГИ www.itsec.ru

НОВЫЕ ПРОДУКТЫ ETHIC – сервис выявления угроз вокаторов. Своевременное выявление
PenTera для бизнеса угроз позволяет принять необходимые
меры до того, как подростками будут
Производитель: Pcysys совершены необдуманные и опасные
для общества поступки
Сертификат: изделие не подлежит Время появления на российском
рынке: апрель 2020 г.
сертификации Подробная информация: для полу-
чения дополнительной информации по
Назначение: автоматизированная продукту обращайтесь по адресу
[email protected]
платформа для тестирования на про- Фирма, предоставившая инфор-
мацию: ИНФОСЕКЬЮРИТИ
никновение Производитель:
См. стр. 33
Особенности: преимущество плат- ООО "ИНФОСЕКЬЮРИТИ"
Digital.ai
формы PenTera заключается в автома- Сертификат: сертификат отсутствует (XebiaLabs DevOps Platform)

тизированном использовании широкого Назначение: мониторинг сети Интернет

набора хакерских технологий при про- и выявление информационных событий

верке информационной инфраструктуры. Особенности: предоставляется как

Уровень кибербезопасности можно про- веб-сервис

верять так часто, как это необходимо. Возможности:

При этом процессы тестирования на l мониторинг широкого круга источни-

проникновение основаны на самых ков, как в открытом сегменте сети Интер-

новейших хакерских методиках нет, так и в Darknet, а также Telegram-

Возможности: проведение непрерыв- каналах

ных автоматизированных тестов на про- l автоматическая классификация Производитель: XebiaLabs, Inc

никновение, укрепляющих защиту кор- выявленных сведений и уведомление Сертификат: изделие не подлежит

поративных сетей от кибератак заказчика о событиях сертификации

l ориентируясь на внутреннюю инфра- Подробная информация: Назначение: оркестрация инструмен-

структуру, PenTera имитирует хакерскую https://in4security.com/?do=ethic тов и процессов DevOps, автоматизация

атаку: автоматизирует обнаружение Фирма, предоставившая инфор- развертывания релизов

уязвимостей и выполняет их безопасную мацию: ИНФОСЕКЬЮРИТИ Особенности:

эксплуатацию, обеспечивая при этом См. стр. 33 l XebiaLabs предоставляет единую плат-

бесперебойную работу сети форму для всех инструментов в вашем

l в результате тестирования форми- конвейере

руются подробные отчеты с перечнем DARVVIN – сервис выявления l встроенные средства интеграции с рас-
социальных угроз в подростковой
предлагаемых исправлений, на шаг опе- среде пространенными (250+) инструментами

режая потенциальных злоумышленников DevOps

Характеристики: l простота и легкость развертывания,

l не требует установки агентов и слож- использования и масштабирования

ного конфигурирования сети инфраструктуры выпуска ПО

l автоматизирует сценарий тестирова- Возможности:

ния по расписанию или по требованию l ускоренный выпуск релизов

l как и пентестер, выполняет этичное l оркестрация всех DevOps инструмен-

вторжение, не допуская сбоев в системе тов и процессов, в том числе включая

l подробно отражает в отчете каждый ручной режим

шаг работы в рамках вектора атаки l автоматизация и "самообслуживание"

l позволяет выборочно контролировать развертывания

отдельные этапы сложных атак l обнаружение узких мест и предупреж-

l приоритизирует информацию для дение срыва сроков выпусков

точечного устранения уязвимостей Характеристики:

l включает новые методы пентестов l самостоятельный быстрый запуск кода

l позволяет установить любую началь- в тестовой и производственной среде

ную точку в сети и цель для атак, чтобы Производитель: l архитектура системы построена на
ООО "ИНФОСЕКЬЮРИТИ"
протестировать отдельные векторы про- Сертификат: сертификат отсутствует основе templates и blueprints
Назначение: мониторинг сети Интер-
никновения или устойчивость конкрет- нет и выявление социальных угроз для l гибкая настройка процессов
подростков, а также деструктивных
ных активов к атакам интернет-ресурсов, угрожающих подро- l предназначено для средних и крупных
стковой среде
Ориентировочная цена: зависит от Особенности: предоставляется как компаний, которые управляют множе-
веб-сервис
размера компании, количества защи- Возможности: сервис DARVVIN пред- ством релизов различных приложений
назначен для выявления на ранних ста-
щаемых устройств, векторов атак и т.д. диях подростков, находящихся в зоне в разных средах и инфраструктурах
риска или уже попавших под влияние
Время появления на российском деструктивных интернет-ресурсов и про- Время появления на российском

рынке: декабрь 2019 г. рынке: февраль 2020 г.

Подробная информация: Подробная информация:

http://www.dialognauka.ru/about/vendors/21 https://xebialabs.com/

789/ Фирма, предоставившая инфор-

Фирма, предоставившая инфор- мацию: WEB CONTROL (официальный

мацию: ДИАЛОГНАУКА, АО дистрибьютор в России)

См. стр. 11 См. стр. 43

• 47

НОВЫЕ ПРОДУКТЫ И УСЛУГИ

УСЛУГИ вида деятельности по ТЗКИ, установ- шении квалификации установленного
ленных Положением о лицензировании образца.
Программа профессиональной деятельности по ТЗКИ, утвержденным Фирма, предоставившая инфор-
переподготовки постановлением Правительства РФ мацию: ОКБ САПР, ЗАО (совместно
"Информационная безопасность. от 3 февраля 2012 г. N 79 (с изменения- с Центром дополнительного профессио-
Техническая защита ми, внесенными постановлением Прави- нального образования МФТИ)
конфиденциальной информации" тельства РФ от 15 июня 2016 г. N 541).
Фирма, предоставившая инфор- См. стр. 34, 35
мацию: ОКБ САПР, ЗАО (совместно
с Центром дополнительного профессио- Программа повышения
нального образования МФТИ) квалификации "Современные
технологии: цифровая экономика"
См. стр. 34, 35

Программа повышения
квалификации "Защита
информации в ИСПДн,
ГИС и значимых объектах КИИ"

Отрасль: информационная безопас-

ность, техническая защита конфиден-

циальной информации, профессиональ-

ная переподготовка

Регион: РФ Отрасль: цифровая экономика, повы-

Описание: продолжительность шение квалификации

470 ак. ч., включая практические заня- Регион: РФ

тия, самостоятельную работу слушате- Описание: продолжительность

лей под руководством преподавателей, 80 ак. ч., включая практические занятия,

итоговую аттестацию, написание и защи- самостоятельную работу слушателей

ту квалификационной работы. Отрасль: техническая защита инфор- под руководством преподавателей и ито-

Форма обучения: очная или дистан- мации, повышение квалификации говую аттестацию.

ционно-заочная (с двумя короткими Регион: РФ Форма обучения: дистанционно-

очными сессиями). По окончании курса Описание: продолжительность заочная (с одной короткой очной сессией).

слушателям выдаются дипломы МФТИ 72 ак. ч., включая практические занятия, По окончании курса слушателям выдают-

о профессиональной переподготовке самостоятельную работу слушателей ся удостоверения МФТИ о повышении

установленного образца. Программа под руководством преподавателей квалификации установленного образца.

согласована со ФСТЭК России. и итоговую аттестацию. Фирма, предоставившая инфор-

Обучение по программе обеспечивает Форма обучения: дистанционно- мацию: ОКБ САПР, ЗАО (совместно

выполнение требования, предъявляемо- заочная (с одной короткой очной сесси- с Центром дополнительного профессио-

го к соискателям лицензии (лицензиа- ей). По окончании курса слушателям нального образования МФТИ)

там) на осуществление лицензируемого выдаются удостоверения МФТИ о повы- См. стр. 34, 35

НЬЮС МЕЙКЕРЫ ИРДЕТО, ООО СПЛАЙН-ЦЕНТР, ЗАО
125284, Москва, 105005, Москва, ул. Бауманская, 5, стр. 1
ДИАЛОГНАУКА, АО Ленинградский просп., 31А, стр. 1 Тел.: +7 (495) 580-2555
117105, Москва, E-mail: [email protected] E-mail: [email protected]
ул. Нагатинская, 1 www.irdeto.com www.debet.ru, сплайн.рф
Тел.: +7 (495) 980-6776 См. стр. 37 См. стр. 41
E-mail: [email protected],
[email protected] ОКБ САПР PERIMETRIX
www.dialognauka.ru 115114, Москва, 119607, Москва, Мичуринский просп., 45
См. cтр. 11 2-й Кожевнический пер., 12 Тел.: +7 (495) 011-0039
Тел.: +7 (495) 994-7262 E-mail: [email protected]
ИНФОСЕКЬЮРИТИ E-mail: [email protected] http://www.perimetrix.com
107140, Москва, http://www.okbsapr.ru/ См. стр. 29
ул. Русаковская, 13, См. ст. "Средства обеспечения
этаж/офис 10/10-01 контролируемой вычислительной среды WEB CONTROL
Тел.: +7 (499) 677-1000 удаленного пользователя" на стр. 34, 35 107023, Москва, ул. Электрозаводская, 24
E-mail: [email protected] Тел.: +7 (495) 925-7794
www.in4security.com E-mail: [email protected]
См. стр. 33 http://web-control.ru/
См. стр. 43
48 •


Click to View FlipBook Version